Nota: Este artículo ha sido editado y actualizado con datos actuales y enlaces adicionales.

Proxy y cortafuegos UserGate es una puerta de enlace a Internet de clase UTM (Unified Threat Management) que le permite proporcionar y controlar el acceso compartido de los empleados a los recursos de Internet, filtrar sitios maliciosos, peligrosos y no deseados, proteger la red de la empresa de intrusiones y ataques externos, crear redes virtuales y organizar una red segura. VPN accede a los recursos de la red desde el exterior, así como también administra el ancho del canal y las aplicaciones de Internet.

El producto es una alternativa eficaz al costoso software y hardware y está destinado a su uso en pequeñas y medianas empresas, en instituciones gubernamentales, así como grandes organizaciones con estructura de sucursales.

Todo Información adicional sobre el producto que puedes encontrar.

El programa tiene módulos pagos adicionales:

• Antivirus Kaspersky
• Antivirus Panda
• Antivirus Avira
• Filtrado de URL de Entensys

La licencia para cada módulo se proporciona por un año calendario. Puede probar el funcionamiento de todos los módulos en una clave de prueba, que puede proporcionarse por un período de 1 a 3 meses para un número ilimitado de usuarios.

Puede leer en detalle sobre las reglas de licencia.

Para todas las preguntas relacionadas con la compra de soluciones Entensys, comuníquese con: sal [correo electrónico protegido] o llamando a la línea gratuita: 8-800-500-4032.

Requisitos del sistema

Para organizar una puerta de enlace, necesita una computadora o servidor que debe cumplir con los siguientes requisitos del sistema:

• Frecuencia de la CPU: desde 1,2 GHz
• Capacidad RAM: desde 1024 Gb
• Capacidad del disco duro: desde 80 GB
• Número de adaptadores de red: 2 o más

Cuanto mayor sea el número de usuarios (en relación con 75 usuarios), mayores deberían ser las características del servidor.

Recomendamos instalar nuestro producto en una computadora con un sistema operativo de servidor “limpio”, el sistema operativo recomendado es Windows 2008/2012.
No garantizamos el correcto funcionamiento de UserGate Proxy&Firewall y/o la colaboración de servicios de terceros y No recomendamos usarlo juntos. con servicios en la puerta de enlace, que realiza las siguientes funciones:

• Es controlador de dominio
• Es un hipervisor de máquina virtual.
• Es servidor de terminal
• Actúa como un servidor DBMS/DNS/HTTP de alta carga, etc.
• Actúa como un servidor SIP
• Realiza servicios o servicios críticos para el negocio.
• Todo lo anterior

UserGate Proxy&Firewall actualmente puede entrar en conflicto con los siguientes tipos de software:

• Todos sin excepción tercero Soluciones de cortafuegos/cortafuegos
• Productos antivirus BitDefender
• Módulos antivirus que realizan la función Firewall o Anti-Hacker de la mayoría de los productos antivirus. Se recomienda desactivar estos módulos.
• Módulos antivirus que escanean datos transmitidos a través de protocolos HTTP/SMTP/POP3; esto puede causar un retraso cuando se trabaja activamente a través de un proxy
• Tercero productos de software, que son capaces de interceptar datos de adaptadores de red: "medidores de velocidad", "modeladores", etc.
• Rol activo de Windows Server "Enrutamiento y acceso remoto" en modo NAT/Conexión compartida a Internet (ICS)

¡Atención! Durante la instalación, se recomienda desactivar la compatibilidad con el protocolo IPv6 en la puerta de enlace, siempre que no se utilicen aplicaciones que utilicen IPv6. La implementación actual de UserGate Proxy&Firewall no es compatible con el protocolo IPv6 y, en consecuencia, no se realiza el filtrado de este protocolo. De este modo, se puede acceder al host desde el exterior a través del protocolo IPv6 incluso con reglas de firewall prohibitivas activadas.

Cuando se configura correctamente, UserGate Proxy&Firewall es compatible con los siguientes servicios:

Roles de Microsoft Windows Server:

• servidor DNS
• Servidor DHCP
• Servidor de impresión
• Servidor de archivos (SMB)
• Servidor de aplicaciones
• servidor WSUS
• Servidor web
• servidor GANA
• servidor vpn

Y con productos de terceros:

• Servidores FTP/SFTP
• Servidores de mensajería - IRC/XMPP

Al instalar UserGate Proxy&Firewall, asegúrese de que el software de terceros no utilice el puerto o puertos que UserGate Proxy&Firewall puede utilizar. De forma predeterminada, UserGate utiliza los siguientes puertos:

• 25 - proxy SMTP
• 80 - proxy HTTP transparente
• 110 - proxy POP3
• 2345 - Consola de administrador de UserGate
• 5455 - Servidor VPN UserGate
• 5456 - Cliente de autorización UserGate
• 5458 - Reenvío de DNS
• 8080 - proxy HTTP
• 8081 - Estadísticas web de UserGate

Todos los puertos se pueden cambiar usando la consola de administrador de UserGate.

Instalar el programa y seleccionar una base de datos con la que trabajar

Asistente de configuración de firewall y proxy UserGate

En este artículo se describe más detalladamente cómo configurar reglas NAT:

Agente de puerta de usuario

Después de instalar UserGate Proxy&Firewall Necesariamente reinicie la puerta de enlace. Después de la autorización en el sistema, el ícono del agente UserGate en la barra de tareas de Windows al lado del reloj debería volverse verde. Si el icono es gris, significa que ocurrió un error durante el proceso de instalación y el servicio del servidor UserGate Proxy&Firewall no se está ejecutando, en este caso consulte la sección correspondiente de la base de conocimiento de Entensys, o a apoyo técnico Empresa Entensys.

El producto se configura a través de la consola de administración de UserGate Proxy&Firewall, a la que se puede acceder haciendo doble clic en el icono del agente UserGate o en el acceso directo desde el menú Inicio.
Cuando inicia la consola de administración, el primer paso es registrar su producto.

Configuración general

En la sección Configuración general de la consola del administrador, establezca la contraseña para el usuario administrador. ¡Importante! No utilice caracteres especiales Unicode ni el PIN del producto como contraseña para acceder a la consola de administración.

El producto UserGate Proxy&Firewall tiene mecanismo de protección contra ataques, también puedes activarlo en el menú "Configuración general". El mecanismo de protección contra ataques es un mecanismo activo, una especie de "botón rojo" que funciona en todas las interfaces. Se recomienda utilizar esta función en caso de ataques DDoS o infección masiva de ordenadores dentro de la red local con malware (virus/gusanos/aplicaciones botnet). El mecanismo de protección contra ataques puede bloquear a los usuarios que utilizan clientes para compartir archivos: torrents, conexión directa, algunos tipos de clientes/servidores VoIP que intercambian tráfico activamente. Para obtener las direcciones IP de las computadoras bloqueadas, abra el archivo Datos de programa\Entensys\Usergate6\logging\fw.log o Documentos y configuraciones\Todos los usuarios\Datos de aplicación\Entensys\Usergate6\logging\fw.log.

¡Atención! Se recomienda cambiar los parámetros que se describen a continuación solo cuando hay una gran cantidad de clientes/altos requisitos para banda ancha puerta.

Esta sección también contiene las siguientes configuraciones: "Número máximo de conexiones": el número máximo de todas las conexiones a través de NAT y a través del proxy UserGate Proxy&Firewall.

"Número máximo de conexiones NAT": el número máximo de conexiones que UserGate Proxy&Firewall puede pasar a través del controlador NAT.

Si la cantidad de clientes no supera los 200-300, no se recomienda cambiar la configuración "Número máximo de conexiones" y "Número máximo de conexiones NAT". Aumentar estos parámetros puede generar una carga significativa en el hardware de la puerta de enlace y solo se recomienda cuando se optimiza la configuración para una gran cantidad de clientes.

Interfaces

¡Atención! Antes de hacer esto, asegúrese de verificar la configuración de su adaptador de red en Windows. ¡La interfaz conectada a la red local (LAN) no debe contener una dirección de puerta de enlace! No es necesario especificar servidores DNS en la configuración del adaptador LAN; la dirección IP debe asignarse manualmente; no recomendamos obtenerla mediante DHCP.

La dirección IP del adaptador LAN debe tener una dirección IP privada. Es aceptable utilizar una dirección IP de los siguientes rangos:

10.0.0.0 - 10.255.255.255 (prefijo 10/8) 172.16.0.0 - 172.31.255.255 (prefijo 172.16/12) 192.168.0.0 - 192.168.255.255 (prefijo 192.168/16)

La distribución de direcciones de redes privadas se describe en RFC 1918 .

El uso de otros rangos como direcciones para la red local provocará errores en el funcionamiento de UserGate Proxy&Firewall.

La interfaz conectada a Internet (WAN) debe contener una dirección IP, una máscara de red, una dirección de puerta de enlace y direcciones de servidor DNS.
No se recomienda utilizar más de tres servidores DNS en la configuración del adaptador WAN, esto puede provocar errores en el funcionamiento de la red. Primero verifique la funcionalidad de cada servidor DNS usando el comando nslookup en la consola cmd.exe, ejemplo:

nslookup usergate.ru 8.8.8.8

donde 8.8.8.8 es la dirección del servidor DNS. La respuesta debe contener la dirección IP del servidor solicitado. Si no hay respuesta, entonces el servidor DNS no es válido o el tráfico DNS está bloqueado.

Es necesario determinar el tipo de interfaces. La interfaz con dirección IP que se conecta a la red interna debe ser de tipo LAN; interfaz que está conectada a Internet - WAN.

Si hay varias interfaces WAN, entonces debe seleccionar la interfaz WAN principal a través de la cual fluirá todo el tráfico haciendo clic derecho sobre ella y seleccionando "Establecer como conexión principal". Si planea utilizar otra interfaz WAN como canal de respaldo, le recomendamos utilizar el "Asistente de configuración".

¡Atención! Al configurar una conexión de respaldo, se recomienda especificar no el nombre del host DNS, sino la dirección IP para que UserGate Proxy&Firewall la sondee periódicamente mediante solicitudes icmp (ping) y, si no hay respuesta, active la conexión de respaldo. Asegúrese de que los servidores DNS en la configuración del adaptador de respaldo de red en Windows estén funcionando.

Usuarios y grupos

Para que la computadora cliente inicie sesión en la puerta de enlace y obtenga acceso a los servicios UserGate Proxy&Firewall y NAT, es necesario agregar usuarios. Para simplificar este procedimiento, utilice la función de escaneo: "Escanear red local". UserGate Proxy&Firewall escaneará de forma independiente la red local y proporcionará una lista de hosts que se pueden agregar a la lista de usuarios. A continuación, puede crear grupos e incluir usuarios en ellos.

Si ha implementado un controlador de dominio, puede configurar la sincronización de grupos con grupos en Active Directory o importar usuarios desde Active Directory, sin una sincronización constante con Active Directory.

Creamos un grupo que se sincronizará con el grupo o grupos de AD, ingresamos los datos necesarios en el menú "Sincronización con AD" y reiniciamos el servicio UserGate usando el agente UserGate. Después de 300 seg. Los usuarios se importan automáticamente al grupo. Estos usuarios tendrán su método de autenticación configurado en AD.

Cortafuegos

Para una correcta y trabajo seguro Se requiere puerta de enlace Necesariamente configurar el cortafuegos.

Se recomienda el siguiente algoritmo de operación del firewall: bloquear todo el tráfico y luego agregar reglas de autorización en las direcciones necesarias. Para hacer esto, la regla #NONUSER# debe configurarse en modo "Denegar" (esto prohibirá todo el tráfico local en la puerta de enlace). ¡Con cuidado! Si configura UserGate Proxy&Firewall de forma remota, se desconectará del servidor. Entonces necesitas crear reglas de permiso.

Permitimos todo el tráfico local, en todos los puertos desde la puerta de enlace a la red local y desde la red local a la puerta de enlace, creando reglas con los siguientes parámetros:

Origen - "LAN", destino - "Cualquiera", servicios - CUALQUIERA: COMPLETO, acción - "Permitir"
Origen - "Cualquiera", destino - "LAN", servicios - CUALQUIER: COMPLETO, acción - "Permitir"

Luego creamos una regla que abrirá el acceso a Internet para la puerta de enlace:

Fuente - "WAN"; destino - "Cualquiera"; servicios - CUALQUIER:COMPLETO; acción - "Permitir"

Si necesita permitir el acceso a las conexiones entrantes en todos los puertos de la puerta de enlace, la regla se verá así:

Fuente - "Cualquiera"; destino - "WAN"; servicios - CUALQUIER:COMPLETO; acción - "Permitir"

Y si necesita que la puerta de enlace acepte conexiones entrantes, por ejemplo, solo a través de RDP (TCP:3389), y se le puede hacer ping desde el exterior, entonces necesita crear la siguiente regla:

Fuente - "Cualquiera"; destino - "WAN"; servicios: cualquier ICMP, RDP; acción - "Permitir"

En todos los demás casos, por razones de seguridad, no es necesario crear una regla para las conexiones entrantes.

Para brindar acceso a Internet a las computadoras cliente, debe crear una regla de traducción de direcciones de red (NAT).

Fuente - "LAN"; destino - "WAN"; servicios - CUALQUIER:COMPLETO; acción - "Permitir"; seleccione los usuarios o grupos a los que desea otorgar acceso.

Es posible configurar reglas de firewall para permitir lo que está explícitamente prohibido y viceversa, para prohibir lo que está claramente permitido, dependiendo de cómo configure la regla #NON_USER# y cuál sea la política de su empresa. Todas las reglas tienen prioridad: las reglas funcionan en orden de arriba a abajo.

Se pueden ver opciones para varias configuraciones y ejemplos de reglas de firewall.

Otros ajustes

A continuación, en la sección Servicios - Proxy, puede habilitar los servidores proxy necesarios: HTTP, FTP, SMTP, POP3, SOCKS. Seleccione las interfaces requeridas; habilitar la opción "escuchar en todas las interfaces" puede no ser seguro, porque el proxy en este caso estará disponible tanto en interfaces LAN como en interfaces externas. El modo proxy "transparente" enruta todo el tráfico en el puerto seleccionado al puerto proxy; en este caso, no es necesario especificar un proxy en las computadoras cliente. El proxy también permanece disponible en el puerto especificado en la configuración del propio servidor proxy.

Si el modo proxy transparente está habilitado en el servidor (Servicios - Configuración de proxy), entonces es suficiente especificar el servidor UserGate como puerta de enlace principal en la configuración de red de la máquina cliente. También puede especificar el servidor UserGate como servidor DNS; en este caso, debe estar habilitado.

Si el modo transparente está deshabilitado en el servidor, entonces debe ingresar la dirección del servidor UserGate y el puerto proxy correspondiente especificado en Servicios - Configuración de proxy en la configuración de conexión del navegador. Puede ver un ejemplo de cómo configurar un servidor UserGate para tal caso.

Si su red tiene un servidor DNS configurado, puede especificarlo en la configuración de reenvío de DNS de UserGate y en la configuración del adaptador WAN de UserGate. En este caso, tanto en modo NAT como en modo proxy, todas las solicitudes DNS se dirigirán a este servidor.

Organizar el acceso compartido a Internet para los usuarios de la red local es una de las tareas más comunes a las que se enfrentan los administradores de sistemas. Sin embargo, todavía plantea muchas dificultades y preguntas. Por ejemplo, ¿cómo garantizar la máxima seguridad y una controlabilidad total?

Introducción

Hoy veremos en detalle cómo organizar el acceso compartido a Internet entre los empleados de una determinada empresa hipotética. Supongamos que su número oscilará entre 50 y 100 personas y que todos los servicios habituales para este tipo de sistemas de información están desplegados en la red local: dominio Windows, servidor de correo propio, servidor FTP.

Para proporcionar acceso compartido, utilizaremos una solución llamada UserGate Proxy & Firewall. Tiene varias características. En primer lugar, se trata de un desarrollo puramente ruso, a diferencia de muchos productos localizados. En segundo lugar, tiene más de diez años de historia. Pero lo más importante es el constante desarrollo del producto.

Las primeras versiones de esta solución eran servidores proxy relativamente simples que solo podían compartir una única conexión a Internet y mantener estadísticas sobre su uso. El más extendido entre ellos es el build 2.8, que todavía se puede encontrar en oficinas pequeñas. Los propios desarrolladores ya no llaman servidor proxy a la última sexta versión. Según ellos, se trata de una solución UTM completa que cubre una amplia gama de tareas relacionadas con la seguridad y el control de las acciones del usuario. Veamos si esto es cierto.

Implementación de proxy y firewall de UserGate

Durante la instalación, son de interés dos pasos (los pasos restantes son estándar para instalar cualquier software). El primero de ellos es la selección de componentes. Además de los archivos básicos, se nos pide que instalemos cuatro componentes más del servidor: una VPN, dos antivirus (Panda y Kaspersky Anti-Virus) y un navegador de caché.

El módulo del servidor VPN se instala según sea necesario, es decir, cuando la empresa planea utilizar el acceso remoto para los empleados o combinar varias redes remotas. Tiene sentido instalar antivirus sólo si se han adquirido las licencias adecuadas de la empresa. Su presencia le permitirá escanear el tráfico de Internet, localizar y bloquear malware directamente en la puerta de enlace. El navegador de caché le permitirá ver las páginas web almacenadas en caché por el servidor proxy.

Funciones adicionales

Prohibir sitios no deseados

La solución es compatible con la tecnología de filtrado de URL de Entensys. Básicamente, es una base de datos basada en la nube que contiene más de 500 millones de sitios web en diferentes idiomas, divididos en más de 70 categorías. Su principal diferencia es el seguimiento constante, durante el cual los proyectos web se monitorean constantemente y cuando el contenido cambia, se transfieren a otra categoría. Esto le permite bloquear todos los sitios no deseados con un alto grado de precisión, simplemente seleccionando ciertas categorías.

El uso del filtrado de URL de Entensys aumenta la seguridad del trabajo en Internet y también ayuda a aumentar la eficiencia de los empleados (al prohibir redes sociales, sitios de entretenimiento y otras cosas). Sin embargo, su uso requiere una suscripción paga, que debe renovarse cada año.

Además, la distribución incluye dos componentes más. La primera es la "Consola de administrador". Esta es una aplicación separada diseñada, como su nombre indica, para administrar el servidor UserGate Proxy & Firewall. Su característica principal es la posibilidad de conectarse de forma remota. Así, los administradores o responsables del uso de Internet no necesitan acceso directo al gateway de Internet.

El segundo componente adicional son las estadísticas web. Básicamente, es un servidor web que le permite mostrar estadísticas de uso detalladas. red global empleados de la empresa. Por un lado, este es, sin duda, un componente útil y conveniente. Después de todo, le permite recibir datos sin instalar software adicional, incluso a través de Internet. Pero, por otro lado, consume recursos innecesarios del sistema de la puerta de enlace de Internet. Por lo tanto, es mejor instalarlo sólo cuando sea realmente necesario.

La segunda etapa a la que debes prestar atención durante la instalación de UserGate Proxy & Firewall es elegir una base de datos. En versiones anteriores, UGPF sólo podía funcionar con archivos MDB, lo que afectaba el rendimiento general del sistema. Ahora se puede elegir entre dos DBMS: Firebird y MySQL. Además, el primero está incluido en la distribución, por lo que a la hora de seleccionarlo no se requieren manipulaciones adicionales. Si desea utilizar MySQL, primero debe instalarlo y configurarlo. Una vez completada la instalación de los componentes del servidor, es necesario preparar estaciones de trabajo para los administradores y otros empleados responsables que puedan gestionar el acceso de los usuarios. Es muy fácil de hacer. Basta con instalar la consola de administración de la misma distribución en sus ordenadores de trabajo.

Funciones adicionales

Servidor VPN incorporado

La versión 6.0 introdujo el componente del servidor VPN. Con su ayuda, puede organizar el acceso remoto seguro de los empleados de la empresa a la red local o combinar redes remotas de sucursales individuales de la organización en un único espacio de información. Este servidor VPN tiene toda la funcionalidad necesaria para crear túneles de servidor a servidor y de cliente a servidor y enrutamiento entre subredes.

Configuración básica

Toda la configuración de UserGate Proxy & Firewall se realiza mediante la consola de administración. De forma predeterminada, después de la instalación, ya se crea una conexión con el servidor local. Sin embargo, si lo usa de forma remota, tendrá que crear la conexión manualmente especificando la dirección IP o el nombre de host de la puerta de enlace de Internet, el puerto de red (predeterminado 2345) y los parámetros de autorización.

Después de conectarse al servidor, primero debe configurar las interfaces de red. Esto se puede hacer en la pestaña "Interfaces" de la sección "UserGate Server". La tarjeta de red que "mira" a la red local está configurada en tipo LAN y todas las demás conexiones están configuradas en WAN. A las conexiones "temporales", como PPPoE, VPN, se les asigna automáticamente el tipo PPP.

Si una empresa tiene dos o más conexiones a la red global, siendo una de ellas la principal y el resto de respaldo, entonces se puede configurar el respaldo automático. Esto es bastante fácil de hacer. Basta agregar las interfaces necesarias a la lista de reserva, especificar uno o más recursos de control y el tiempo para verificarlos. El principio de funcionamiento de este sistema es el siguiente. UserGate verifica automáticamente la disponibilidad de los sitios de control en un intervalo específico. Tan pronto como dejan de responder, el producto de forma independiente, sin intervención del administrador, cambia al canal de respaldo. Al mismo tiempo, continúa la verificación de la disponibilidad de los recursos de control a través de la interfaz principal. Y tan pronto como sea exitoso, el cambio se realiza automáticamente. Lo único a lo que debe prestar atención al configurar es a la elección de los recursos de control. Es mejor optar por varios sitios grandes, cuyo funcionamiento estable está prácticamente garantizado.

Funciones adicionales

Control de aplicaciones de red

UserGate Proxy & Firewall implementa una característica tan interesante como el control de aplicaciones de red. Su objetivo es evitar que cualquier software no autorizado acceda a Internet. Como parte de la configuración de control, se crean reglas que permiten o bloquean el funcionamiento en red de varios programas (con o sin consideraciones de versión). Pueden especificar direcciones IP específicas y puertos de destino, lo que le permite configurar de manera flexible el acceso al software, permitiéndole realizar solo ciertas acciones en Internet.

El control de aplicaciones le permite desarrollar una política corporativa clara sobre el uso de programas y prevenir parcialmente la propagación de malware.

Después de esto, puede proceder directamente a configurar servidores proxy. En total, la solución considerada implementa siete de ellos: para los protocolos HTTP (incluido HTTP), FTP, SOCKS, POP3, SMTP, SIP y H323. Esto es prácticamente todo lo que pueden necesitar los empleados de una empresa para trabajar en Internet. De forma predeterminada, solo el proxy HTTP está habilitado; todos los demás se pueden activar si es necesario.

Los servidores proxy en UserGate Proxy & Firewall pueden funcionar en dos modos: normal y transparente. En el primer caso hablamos de un proxy tradicional. El servidor recibe solicitudes de los usuarios y las reenvía a servidores externos y transmite las respuestas recibidas a los clientes. Esta es una solución tradicional, pero tiene sus propios inconvenientes. En particular, es necesario configurar cada programa que se utiliza para trabajar en Internet (navegador de Internet, cliente de correo electrónico, ICQ, etc.) en cada computadora de la red local. Por supuesto, esto supone mucho trabajo. Además, periódicamente, a medida que se instale nuevo software, se repetirá.

Al elegir el modo transparente, se utiliza un controlador NAT especial, que se incluye en el paquete de entrega de la solución en cuestión. Escucha en los puertos correspondientes (80 para HTTP, 21 para FTP, etc.), detecta las solicitudes que llegan a ellos y las pasa al servidor proxy, desde donde se envían. Esta solución tiene más éxito en el sentido de que ya no es necesaria la configuración del software en las máquinas cliente. Lo único que se requiere es especificar la dirección IP de la puerta de enlace de Internet como puerta de enlace principal en la conexión de red de todas las estaciones de trabajo.

El siguiente paso es configurar el reenvío de consultas DNS. Hay dos maneras de hacer esto. El más sencillo de ellos es habilitar el llamado reenvío DNS. Al usarlo, las solicitudes de DNS que llegan a la puerta de enlace de Internet desde los clientes se redirigen a los servidores especificados (se puede usar como servidor DNS desde los parámetros conexión de red, así como cualquier servidor DNS arbitrario).

La segunda opción es crear una regla NAT que recibirá solicitudes en el puerto 53 (estándar para DNS) y las reenviará a la red externa. Sin embargo, en este caso, deberá registrar manualmente los servidores DNS en la configuración de conexión de red en todas las computadoras o configurar el envío de solicitudes DNS a través de la puerta de enlace de Internet desde el servidor del controlador de dominio.

Gestión de usuarios

Después de completar la configuración básica, puede continuar trabajando con los usuarios. Debe comenzar creando grupos en los que posteriormente se combinarán las cuentas. ¿Para qué sirve? En primer lugar, para su posterior integración con Active Directory. Y en segundo lugar, puedes asignar reglas a grupos (hablaremos de ellas más adelante), controlando así el acceso de una gran cantidad de usuarios a la vez.

El siguiente paso es agregar usuarios al sistema. Puedes hacer esto de tres maneras diferentes. Por razones obvias ni siquiera nos planteamos el primero de ellos, la creación manual de cada cuenta. Esta opción sólo es adecuada para redes pequeñas con un número reducido de usuarios. El segundo método es escanear. red corporativa Solicitudes ARP, durante las cuales el propio sistema determina la lista de posibles cuentas. Sin embargo, elegimos la tercera opción, que es la más óptima en términos de simplicidad y facilidad de administración: la integración con Active Directory. Se realiza en base a grupos creados previamente. Primero debe completar los parámetros generales de integración: especificar el dominio, la dirección de su controlador, el nombre de usuario y la contraseña con los derechos de acceso necesarios, así como el intervalo de sincronización. Después de esto, a cada grupo creado en UserGate se le deben asignar uno o más grupos de Active Directory. De hecho, el montaje termina ahí. Después de guardar todos los parámetros, la sincronización se realizará automáticamente.

Los usuarios creados durante la autorización utilizarán de forma predeterminada la autorización NTLM, es decir, la autorización mediante inicio de sesión en el dominio. Esta es una opción muy conveniente, ya que las reglas y el sistema de contabilidad de tráfico funcionarán independientemente de en qué computadora esté sentado el usuario actualmente.

Sin embargo, para utilizar este método de autorización necesita información adicional software- cliente especial. Este programa funciona en el nivel de Winsock y transmite los parámetros de autorización del usuario al portal de Internet. Su distribución está incluida en el paquete UserGate Proxy & Firewall. Puede instalar rápidamente el cliente en todas las estaciones de trabajo utilizando las políticas de grupo de Windows.

Por cierto, la autorización NTLM está lejos de ser el único método para autorizar a los empleados de una empresa a trabajar en Internet. Por ejemplo, si una organización practica una vinculación estricta de los trabajadores a las estaciones de trabajo, entonces se puede utilizar una dirección IP, una dirección MAC o una combinación de ambas para identificar a los usuarios. Utilizando los mismos métodos, puede organizar el acceso a una red global de varios servidores.

Control de usuario

Una de las ventajas importantes de UGPF son sus amplias capacidades de control de usuarios. Se implementan mediante un sistema de reglas de control de tráfico. El principio de su funcionamiento es muy sencillo. El administrador (u otra persona responsable) crea un conjunto de reglas, cada una de las cuales representa una o más condiciones desencadenantes y la acción que se realiza cuando ocurren. Estas reglas se asignan a usuarios individuales o a grupos completos de ellos y le permiten controlar automáticamente su trabajo en Internet. Hay cuatro acciones posibles en total. El primero es cerrar la conexión. Permite, por ejemplo, bloquear la descarga de determinados archivos, impedir la visita a sitios no deseados, etc. La segunda acción es cambiar la tarifa. Se utiliza en el sistema arancelario, que está integrado en el producto analizado (no lo consideramos, ya que no es particularmente relevante para las redes corporativas). La siguiente acción le permite desactivar el recuento del tráfico recibido dentro de esta conexión. En este caso, la información transmitida no se tiene en cuenta a la hora de calcular el consumo diario, semanal y mensual. Y finalmente, la última acción es limitar la velocidad al valor especificado. Es muy conveniente utilizarlo para evitar la obstrucción del canal al descargar archivos grandes y resolver otros problemas similares.

Hay muchas más condiciones en las normas de control de tráfico: unas diez. Algunos de ellos son relativamente simples, como el tamaño máximo de archivo. Esta regla se activará cuando los usuarios intenten descargar un archivo mayor que el tamaño especificado. Otras condiciones se basan en el tiempo. En particular, entre ellos podemos destacar el horario (activado por hora y días de la semana) y los días festivos (activado en días específicos).

Sin embargo, son de mayor interés los términos y condiciones asociados con los sitios y el contenido. En particular, se pueden utilizar para bloquear o configurar otras acciones sobre ciertos tipos de contenido (por ejemplo, video, audio, archivos ejecutables, texto, imágenes, etc.), proyectos web específicos o sus categorías completas (la tecnología de filtrado de URL de Entensys es utilizado para esto (ver cuadro).

Cabe destacar que una regla puede contener varias condiciones a la vez. En este caso, el administrador puede especificar en qué caso se ejecutará: si se cumplen todas las condiciones o cualquiera de ellas. Esto permite crear una política muy flexible para el uso de Internet por parte de los empleados de la empresa, teniendo en cuenta un gran número de todo tipo de matices.

Configurar un cortafuegos

Una parte integral del controlador NAT UserGate es un firewall que ayuda a resolver varios problemas relacionados con el procesamiento del tráfico de la red. Para la configuración se utilizan reglas especiales, que pueden ser de tres tipos: traducción de direcciones de red, enrutamiento y firewall. Puede haber un número arbitrario de reglas en el sistema. En este caso, se aplican en el orden en que aparecen enumerados en lista general. Por tanto, si el tráfico entrante coincide con varias reglas, será procesado por la que esté situada por encima de las demás.

Cada regla se caracteriza por tres parámetros principales. La primera es la fuente de tráfico. Puede ser uno o más hosts específicos, la interfaz WAN o LAN de la puerta de enlace de Internet. El segundo parámetro es el propósito de la información. Aquí se puede especificar la interfaz LAN o WAN o la conexión de acceso telefónico. La última característica principal de una regla es a uno o más servicios a los que se aplica. En UserGate Proxy & Firewall, un servicio se entiende como un par de una familia de protocolos (TCP, UDP, ICMP, protocolo arbitrario) y un puerto de red (o rango de puertos de red). De forma predeterminada, el sistema ya tiene un impresionante conjunto de servicios preinstalados, que van desde los comunes (HTTP, HTTPs, DNS, ICQ) hasta los específicos (WebMoney, RAdmin, varios juegos en línea, etc.). Sin embargo, si es necesario, el administrador puede crear sus propios servicios, por ejemplo, aquellos que describen cómo trabajar con la banca en línea.

Cada regla también tiene una acción que realiza con el tráfico que coincide con las condiciones. Solo hay dos: permitir o prohibir. En el primer caso, el tráfico fluye libremente por la ruta especificada, mientras que en el segundo está bloqueado.

Las reglas de traducción de direcciones de red utilizan tecnología NAT. Con su ayuda, puede configurar el acceso a Internet para estaciones de trabajo con direcciones locales. Para hacer esto, necesita crear una regla, especificando la interfaz LAN como origen y la interfaz WAN como destino. Las reglas de enrutamiento se aplican si la solución en cuestión se utilizará como enrutador entre dos redes locales (implementa esta característica). En este caso, el enrutamiento se puede configurar para transportar el tráfico de forma bidireccional y transparente.

Las reglas de firewall se utilizan para procesar el tráfico que no va al servidor proxy, sino directamente a la puerta de enlace de Internet. Inmediatamente después de la instalación, el sistema tiene una regla que permite todos los paquetes de red. En principio, si la puerta de enlace de Internet que se está creando no se utilizará como estación de trabajo, entonces la acción de la regla se puede cambiar de "Permitir" a "Denegar". En este caso, se bloqueará cualquier actividad de red en la computadora, excepto los paquetes NAT de tránsito transmitidos desde la red local a Internet y viceversa.

Las reglas del firewall le permiten publicar cualquier servicio local en la red global: servidores web, servidores FTP, servidores de correo, etc. Al mismo tiempo, los usuarios remotos tienen la oportunidad de conectarse a ellos a través de Internet. Como ejemplo, considere publicar un servidor FTP corporativo. Para hacer esto, el administrador debe crear una regla en la que seleccione "Cualquiera" como origen, especifique la interfaz WAN deseada como destino y FTP como servicio. Después de esto, seleccione la acción "Permitir", habilite la transmisión de tráfico y en el campo "Dirección de destino" especifique la dirección IP del servidor FTP local y su puerto de red.

Después de esta configuración, todas las conexiones a las tarjetas de red del gateway de Internet a través del puerto 21 serán redirigidas automáticamente al servidor FTP. Por cierto, durante el proceso de configuración puedes seleccionar no sólo el "nativo", sino también cualquier otro servicio (o crear el tuyo propio). En este caso, los usuarios externos tendrán que contactar con un puerto diferente al 21. Este enfoque es muy conveniente en los casos en que sistema de informacion hay dos o más servicios del mismo tipo. Por ejemplo, puede organizar el acceso externo al portal corporativo a través del puerto HTTP estándar 80 y el acceso a las estadísticas web de UserGate a través del puerto 81.

El acceso externo al servidor de correo interno se configura de manera similar.

Una característica distintiva importante del firewall implementado es el sistema de prevención de intrusiones. Funciona de forma totalmente automática, identifica intentos no autorizados basándose en firmas y métodos heurísticos y los neutraliza bloqueando flujos de tráfico no deseados o restableciendo conexiones peligrosas.

resumámoslo

En esta revisión, examinamos con cierto detalle la organización del acceso compartido de los empleados de la empresa a Internet. EN condiciones modernas Este no es el proceso más sencillo, ya que es necesario tener en cuenta una gran cantidad de matices diferentes. Además, son importantes tanto los aspectos técnicos como organizativos, especialmente el control de las acciones de los usuarios.

“Guía del administrador de UserGate Proxy & Firewall v.6 Contenido Introducción Acerca del programa Requisitos del sistema Instalación de la actualización de registro de UserGate Proxy & Firewall...”

-- [ Página 1 ] --

Proxy y cortafuegos UserGate v.6

Guía del administrador

Introducción

Sobre el programa

Requisitos del sistema

Instalación del proxy y cortafuegos UserGate

Registro

Actualizar y eliminar

Política de licencias de firewall y proxy de UserGate

Consola de administración

Configurar conexiones

Establecer una contraseña de conexión

Autenticación de administrador de UserGate

Establecer una contraseña para acceder a la base de datos de estadísticas de UserGate

Configuración general de NAT (traducción de direcciones de red)

Configuración general

Configurar interfaces

Conteo de tráfico en UserGate

Soporte de canal de respaldo

Usuarios y grupos

Sincronización con Active Directory

Página de estadísticas personales de usuario

Soporte al usuario de terminales

Configurar servicios en UserGate

configuración DHCP

Configurar servicios de proxy en UserGate

Soporte para protocolos de telefonía IP (SIP, H323)

Compatibilidad con el modo de registrador SIP

Soporte del protocolo H323

Proxies de correo en UserGate

Usando el modo transparente

servidores proxy en cascada

Asignación de puerto

Configuración de caché

Escaneo antivirus

Programador en UserGate

Configuración de DNS

Configurar un servidor VPN

Configurar un sistema de detección de intrusos (IDS)

Configurar alertas

Cortafuegos en UserGate

Cómo funciona un cortafuegos

Registro de eventos ME

Reglas de traducción de direcciones de red (NAT)

Trabajar con múltiples proveedores

Selección automática de interfaz saliente.

www.usergate.ru

Publicación de recursos de red

Configurar reglas de filtrado

Soporte de enrutamiento

Límite de velocidad en UserGate

Control de aplicaciones

Caché del navegador en UserGate

Gestión del tráfico en UserGate

Sistema de reglas de control de tráfico.

Restringir el acceso a los recursos de Internet

Filtrado de URL de Entensys

Establecer un límite de consumo de tráfico

Límite de tamaño de archivo

Filtrar por tipo de contenido

Sistema de cobranza

Tarifas por acceso a Internet

Eventos periódicos

Cambio de tarifa dinámico

Administración remota de UserGate

Configurar una conexión remota

Reinicio remoto del servidor UserGate

Comprobando la disponibilidad de una nueva versión.

Estadísticas web de UserGate

Evaluación de la eficacia de las normas de control de tráfico.

Evaluación de la eficacia del antivirus.

Estadísticas de uso de SIP

Solicitud

Control de integridad de UserGate

Comprobando el inicio correcto

Salida de información de depuración

Obtener soporte técnico

www.usergate.ru

Introducción Un servidor proxy es un conjunto de programas que actúa como intermediario (del inglés "proxy" - "intermediario") entre las estaciones de trabajo de los usuarios y otros servicios de red.

La solución transmite todas las solicitudes de los usuarios a Internet y, al recibir una respuesta, la devuelve. Con una función de almacenamiento en caché, el servidor proxy recuerda las solicitudes de la estación de trabajo a recursos externos y, si la solicitud se repite, devuelve el recurso desde su propia memoria, lo que reduce significativamente el tiempo de solicitud.

En algunos casos, un servidor proxy puede modificar o bloquear una solicitud de un cliente o una respuesta del servidor para realizar determinadas tareas, por ejemplo, para evitar que los virus infecten las estaciones de trabajo.

Acerca del programa UserGate Proxy & Firewall es una solución integral para conectar usuarios a Internet, proporcionando contabilidad completa del tráfico, control de acceso y protección de red integrada.

UserGate permite cobrar el acceso de los usuarios a Internet, tanto por el tráfico como por el tiempo de permanencia en la red. El administrador puede agregar diferentes planes de tarifas, cambiar dinámicamente de tarifas, automatizar el retiro/acumulación de fondos y regular el acceso a los recursos de Internet. El módulo antivirus y firewall integrado le permite proteger el servidor UserGate y escanear el tráfico que lo atraviesa en busca de código malicioso. Puede utilizar el servidor y el cliente VPN integrados para conectarse de forma segura a la red de su organización.

UserGate consta de varias partes: un servidor, una consola de administración (UserGateAdministrator) y varios módulos adicionales. El servidor UserGate (proceso usergate.exe) es la parte principal del servidor proxy, que implementa todas sus funciones.

El servidor UserGate proporciona acceso a Internet, cuenta el tráfico, mantiene estadísticas de la actividad del usuario en la red y realiza muchas otras tareas.

UserGate Administration Console es un programa diseñado para administrar el servidor UserGate. La consola de administración de UserGate se comunica con la parte del servidor a través de un protocolo seguro especial a través de TCP/IP, que le permite realizar la administración remota del servidor.

UserGate incluye tres módulos adicionales: “Estadísticas web”, “Cliente de autorización” y el módulo “Control de aplicaciones”.

www.entensys.ru

Requisitos del sistema Se recomienda instalar UserGate Server en una computadora con el sistema operativo Windows XP/2003/7/8/2008/2008R2/2012 conectada a Internet mediante un módem o cualquier otra conexión. Requisitos de hardware del servidor:

–  –  –

Instalación de UserGate Proxy & Firewall El procedimiento de instalación de UserGate consiste en ejecutar el archivo de instalación y seleccionar las opciones del asistente de instalación. Al instalar la solución por primera vez, basta con dejar las opciones predeterminadas. Una vez que se complete la instalación, deberá reiniciar su computadora.

Registro Para registrar el programa, debe iniciar el servidor UserGate, conectar la consola de administración al servidor y seleccionar el elemento del menú "Ayuda" - "Registrar producto". Cuando se conecte a la consola de administración por primera vez, aparecerá un cuadro de diálogo de registro con dos opciones disponibles: solicitar una clave de demostración y solicitar una clave con todas las funciones. La solicitud de clave se realiza en línea (protocolo HTTPS), accediendo al sitio usergate.ru.

Al solicitar una clave de función completa, debe ingresar un código PIN especial, que se emite al comprar UserGate Proxy & Firewall o mediante el servicio de soporte para realizar pruebas. Además, durante el registro deberá ingresar un adicional informacion personal(nombre de usuario, dirección Correo electrónico, país, región). Los datos personales se utilizan únicamente para vincular la licencia al usuario y no se distribuyen de ninguna manera. Después de recibir la clave completa o de demostración, el servidor UserGate se reiniciará automáticamente.

www.usergate.ru

¡Importante! En modo de demostración, el servidor UserGate Proxy & Firewall funcionará durante 30 días. Cuando se comunique con Entensys, podrá solicitar un PIN especial para pruebas avanzadas. Por ejemplo, puedes solicitar una clave de demostración durante tres meses. Es imposible volver a obtener una licencia de prueba sin ingresar un código PIN extendido especial.

¡Importante! Cuando se ejecuta UserGate Proxy & Firewall, el estado de la clave de registro se verifica periódicamente. Para que UserGate funcione correctamente, debe permitir el acceso a Internet a través del protocolo HTTPS. Esto es necesario para comprobar en línea el estado de la clave. Si la verificación de la clave falla tres veces, se restablecerá la licencia del servidor proxy y aparecerá el cuadro de diálogo de registro del programa. El programa implementa un contador para el número máximo de activaciones, que es 10 veces. Después de exceder este límite, podrá activar el producto con su clave solo después de comunicarse con el servicio de soporte en: http://entensys.ru/support.

Actualización y eliminación La nueva versión de UserGate Proxy & Firewall v.6 se puede instalar sobre las versiones anteriores de la quinta familia. En este caso, el asistente de instalación le pedirá que guarde o sobrescriba el archivo de configuración del servidor config.cfg y el archivo de estadísticas log.mdb. Ambos archivos se encuentran en el directorio donde está instalado UserGate (en adelante, "%UserGate%"). El servidor UserGate v.6 admite el formato de configuración UserGate v.4.5, por lo que cuando inicie el servidor por primera vez, la configuración se convertirá a nuevo formato automáticamente.

No se admite la compatibilidad con versiones anteriores de la configuración.

¡Atención! Para el archivo de estadísticas, solo se admite la transferencia de saldos de usuarios actuales; las estadísticas de tráfico en sí no se transferirán.

Los cambios en la base de datos fueron causados ​​por problemas de rendimiento con la antigua y limitaciones en su tamaño. La nueva base de datos Firebird no tiene tales deficiencias.

El servidor UserGate se puede desinstalar a través del elemento de menú Inicio Programas correspondiente o mediante Agregar o quitar programas (Programas y características en Windows 7/2008/2012) en el Panel de control de Windows. Después de desinstalar UserGate, algunos archivos permanecerán en el directorio de instalación del programa a menos que se haya seleccionado la opción de eliminar todo.

Política de licencia UserGate Proxy & Firewall El servidor UserGate está diseñado para proporcionar acceso a Internet a los usuarios de la red local. El número máximo de usuarios que pueden trabajar simultáneamente en Internet a través de UserGate se indica mediante el número de "sesiones" y está determinado por la clave de registro.

La clave de registro de UserGate v.6 es única y no funciona con versiones anteriores de UserGate. Durante el período de demostración, la solución funciona durante 30 días con un límite de cinco sesiones. El concepto de "sesión" no debe confundirse con la cantidad de aplicaciones o conexiones de Internet que ejecuta un usuario. El número de conexiones de un usuario puede ser cualquiera, a menos que esté específicamente limitado.

www.usergate.ru

Los módulos antivirus integrados en UserGate (de Kaspersky Lab, Panda Security y Avira), así como el módulo de filtrado de URL de Entensys, tienen licencia por separado. En la versión de demostración de UserGate, los módulos integrados pueden funcionar durante 30 días.

El módulo de filtrado de URL de Entensys, diseñado para trabajar con categorías de sitios web, brinda la posibilidad de trabajar en modo de demostración durante un período de 30 días. Al comprar UserGate Proxy & Firewall con un módulo de filtrado, la licencia de Entensys URL Filtering es válida por un año. Una vez que expire el período de suscripción, se detendrá el filtrado de recursos a través del módulo.

www.usergate.ru

Consola de administración La Consola de administración es una aplicación diseñada para administrar un servidor UserGate local o remoto. Para utilizar la consola de administración, debe iniciar el servidor UserGate seleccionando Iniciar servidor UserGate en el menú contextual del agente UserGate (el icono en la bandeja del sistema, en adelante

- "agente"). Puede iniciar la consola de administración a través del menú contextual del agente o mediante el elemento del menú Iniciar programas si la consola de administración está instalada en otra computadora. Para trabajar con la configuración, debe conectar la consola de administración al servidor.

El intercambio de datos entre la consola de administración y el servidor UserGate se realiza mediante el protocolo SSL. Al inicializar la conexión (SSLHandshake), se realiza una autenticación unidireccional, durante la cual el servidor UserGate transfiere su certificado, ubicado en el directorio %UserGate%\ssl, a la consola de administración. No se requiere un certificado o contraseña desde la consola de administración para conectarse.

Configurar conexiones Cuando comienza por primera vez, la consola de administración se abre en la página Conexiones, que contiene una única conexión al servidor localhost para el usuario Administrador. No se ha establecido la contraseña de conexión. Puede conectar la consola de administración al servidor haciendo doble clic en la línea localhost-administrator o haciendo clic en el botón Conectar en el panel de control. Puede crear múltiples conexiones en la consola de administración de UserGate. La configuración de conexión especifica los siguientes parámetros:

El nombre del servidor es el nombre de la conexión;

Nombre de usuario: inicie sesión para conectarse al servidor;

Dirección del servidor: nombre de dominio o dirección IP del servidor UserGate;

Puerto: puerto TCP utilizado para conectarse al servidor (de forma predeterminada, se utiliza el puerto 2345);

Contraseña – contraseña para la conexión;

Solicitar contraseña al conectarse: esta opción le permite mostrar un cuadro de diálogo para ingresar su nombre de usuario y contraseña al conectarse al servidor;

Conéctese automáticamente a este servidor: la consola de administración se conectará a este servidor automáticamente cuando se inicie.

La configuración de la consola de administración se almacena en el archivo console.xml ubicado en el directorio %UserGate%\Administrator\. En el lado del servidor UserGate, el nombre de usuario y el hash md5 de la contraseña para la conexión se almacenan en el archivo config.cfg, ubicado en el directorio %UserGate_data, donde %UserGate_data% es la carpeta para Windows XP – (C:\Documents y Settings\All www.usergate.ru Users\Application Data\Entensys\UserGate6), para la carpeta Windows 7/2008 – (C:\Documents and Settings\All Users\Entensys\UserGate6) Establecer una contraseña para la conexión Puede crear una nombre de usuario y contraseña para conectarse al servidor UserGate en la página de configuración general en la sección Configuración del administrador. En la misma sección puede especificar el puerto TCP para conectarse al servidor. Para que la nueva configuración surta efecto, debe reiniciar el servidor UserGate (elemento Reiniciar el servidor UserGate en el menú del agente). Después de reiniciar el servidor, se deben especificar nuevas configuraciones en los parámetros de conexión en la consola de administración. De lo contrario, el administrador no podrá conectarse al servidor.

¡Atención! Para evitar problemas con la funcionalidad de la consola de administración de UserGate, ¡no se recomienda cambiar estos parámetros!

Autenticación del administrador de UserGate Para conectar con éxito la consola de administración al servidor UserGate, el administrador debe realizar el procedimiento de autenticación del lado del servidor.

La autenticación del administrador se realiza después de establecer una conexión SSL entre la consola de administración y el servidor UserGate. La consola envía el inicio de sesión y el hash md5 de la contraseña del administrador al servidor. El servidor UserGate compara los datos recibidos con lo especificado en el archivo de configuración config.cfg.

La autenticación se considera exitosa si los datos recibidos desde la consola de administración coinciden con lo especificado en la configuración del servidor. Si la autenticación falla, el servidor UserGate interrumpe la conexión SSL con la consola de administración. El resultado del procedimiento de autenticación se registra en el archivo usergate.log, ubicado en el directorio %UserGate_data%\logging\.

Establecer una contraseña para acceder a la base de datos de estadísticas de UserGate Estadísticas de usuario: tráfico, recursos visitados, etc.

son registrados por el servidor UserGate en una base de datos especial. El acceso a la base de datos se realiza directamente (para la base de datos Firebird incorporada) o mediante el controlador ODBC, que permite al servidor UserGate trabajar con bases de datos de casi cualquier formato (MSAccess, MSSQL, MySQL). La base de datos predeterminada de Firebird es %UserGate_data%\usergate.fdb. Usuario y contraseña para acceder a la base de datos – SYSDBA\masterkey. Puede establecer una contraseña diferente a través del elemento Configuración general de la base de datos de la consola de administración.

Configuración general de NAT (traducción de direcciones de red) El elemento Configuración general de NAT le permite configurar el valor de tiempo de espera para las conexiones NAT que utilizan los protocolos TCP, UDP o ICMP. El valor del tiempo de espera determina la vida útil de una conexión de usuario a través de NAT cuando se completa la transmisión de datos a través de la conexión. La opción Generar registros de depuración está destinada a la depuración y permite, si es necesario, habilitar el modo de registro extendido de los mensajes del controlador NAT UserGate.

El detector de ataques es una opción especial que le permite utilizar el mecanismo interno para monitorear y bloquear el escáner de puertos o los intentos de www.usergate.ru de ocupar todos los puertos del servidor. Este módulo funciona en modo automático, los eventos se registrarán en el archivo %UserGate_data%\logging\fw.log.

¡Atención! La configuración de este módulo se puede cambiar a través del archivo de configuración config.cfg, sección de opciones.

Configuración general Bloquear por línea del navegador: lista de navegadores del Agente de Usuario que el servidor proxy puede bloquear. Aquellos. Puede, por ejemplo, impedir que navegadores antiguos como IE 6.0 o Firefox 3.x accedan a Internet.

www.usergate.ru Configuración de interfaces La sección Interfaces (Fig. 1) es la principal en la configuración del servidor UserGate, ya que determina cuestiones como la exactitud del conteo del tráfico, la capacidad de crear reglas para el firewall, restricciones sobre el ancho del canal de Internet para el tráfico de un determinado tipo, y el establecimiento de relaciones entre redes y el orden en que el controlador NAT (Network Address Translation) procesa los paquetes.

Figura 1. Configuración de interfaces del servidor La sección Interfaces enumera todas las interfaces de red disponibles del servidor en el que está instalado UserGate, incluidas las conexiones de acceso telefónico (VPN, PPPoE).

Para cada adaptador de red, el administrador de UserGate debe especificar su tipo. Entonces, para un adaptador conectado a Internet, debe seleccionar el tipo WAN, para un adaptador conectado a una red local, el tipo LAN.

No puede cambiar el tipo de acceso telefónico (VPN, PPPoE) de la conexión. Para tales conexiones, el servidor UserGate establecerá automáticamente el tipo de interfaz PPP.

Puede especificar el nombre de usuario y la contraseña para la conexión de acceso telefónico (VPN) haciendo doble clic en la interfaz correspondiente. La interfaz ubicada en la parte superior de la lista es la conexión principal a Internet.

Conteo de tráfico en UserGate El tráfico que pasa a través del servidor UserGate se registra en el usuario de la red local que es el iniciador de la conexión, o en el servidor UserGate www.usergate.ru si el iniciador de la conexión es el servidor. Para el tráfico del servidor, las estadísticas de UserGate proporcionan un usuario especial: UserGate Server. La cuenta de UserGate Server del usuario registra el tráfico de actualización de la base de datos antivirus para los módulos integrados de Kaspersky Lab, Panda Security y Avira, así como el tráfico de resolución de nombres a través del reenvío de DNS.

El tráfico se tiene en cuenta en su totalidad, junto con las cabeceras de los servicios.

Además, se ha agregado la capacidad de tener en cuenta los encabezados de Ethernet.

Si los tipos de adaptadores de red del servidor (LAN o WAN) se especifican correctamente, el tráfico en la dirección "red local - servidor UserGate" (por ejemplo, acceso a recursos de red compartidos en el servidor) no se tiene en cuenta.

¡Importante! La presencia de programas de terceros (firewalls o antivirus (con función de escaneo de tráfico)) puede afectar significativamente la exactitud del recuento de tráfico en UserGate. ¡No se recomienda instalar programas de red de terceros en una computadora con UserGate!

Soporte del canal de respaldo En la página de interfaces, puede configurar el canal de respaldo. Al hacer clic en el botón Asistente de configuración, puede seleccionar la interfaz que se utilizará como canal de respaldo. La segunda página proporciona una selección de hosts cuya conectividad a Internet será comprobada por el servidor proxy. En el intervalo especificado, la solución comprobará la disponibilidad de estos hosts con una solicitud de eco ICMP. Si se devuelve una respuesta de al menos un host especificado, la conexión se considera activa. Si no se recibe respuesta de ningún host, la conexión se considerará inactiva y la puerta de enlace principal del sistema cambiará a la puerta de enlace del canal de respaldo. Si se crearon reglas NAT especificando una interfaz Masquerade especial como interfaz externa, dichas reglas se recrearán de acuerdo con la tabla de enrutamiento actual. Las reglas NAT creadas comenzarán a funcionar a través del canal de respaldo.

Figura 2. Asistente de configuración del canal de respaldo www.

usergate.ru Como conexión de respaldo, el servidor UserGate puede usar tanto una conexión Ethernet (canal dedicado, interfaz WAN) como una conexión de acceso telefónico (VPN, PPPoE) (interfaz PPP). Después de cambiar a la conexión a Internet de respaldo, el servidor UserGate verificará periódicamente la disponibilidad del canal principal. Si se restablece su funcionalidad, el programa cambiará a los usuarios a la conexión principal a Internet.

www.usergate.ru

Usuarios y grupos Para proporcionar acceso a Internet, debe crear usuarios en UserGate. Para facilitar la administración, los usuarios pueden agruparse por ubicación o nivel de acceso. Lógicamente lo más correcto es agrupar a los usuarios en grupos según niveles de acceso, ya que en este caso facilita mucho el trabajo con las reglas de control de tráfico. De forma predeterminada, UserGate tiene un solo grupo: predeterminado.

Puede crear un nuevo usuario a través del elemento Agregar un nuevo usuario o haciendo clic en el botón Agregar en el panel de control en la página Usuarios y grupos. Hay otra forma de agregar usuarios: escanear la red con solicitudes ARP. Debe hacer clic en un espacio vacío en la consola del administrador en la página Usuarios y seleccionar Escanear red local. A continuación, configure los parámetros de la red local y espere los resultados del análisis. Como resultado, verá una lista de usuarios que pueden agregarse a UserGate. Los parámetros de usuario obligatorios (Fig. 3) son nombre, tipo de autorización, parámetro de autorización (dirección IP, nombre de usuario y contraseña, etc.), grupo y tarifa. De forma predeterminada, todos los usuarios pertenecen al grupo predeterminado. El nombre de usuario en UserGate debe ser único. Además, en las propiedades del usuario, puede definir el nivel de acceso del usuario a las estadísticas web, configurar el número de teléfono interno para H323, limitar la cantidad de conexiones para el usuario, habilitar reglas NAT, reglas de control de tráfico o reglas para el módulo de Control de aplicaciones.

Figura 3. Perfil de usuario en UserGate Un usuario en UserGate hereda todas las propiedades del grupo al que pertenece, excepto la tarifa, que puede anularse.

La tarifa especificada en las propiedades del usuario se aplicará al cobro de todas las conexiones del usuario. Si no se cobra el acceso a Internet, puede utilizar una tarifa vacía llamada "predeterminada".

www.usergate.ru

Sincronización con Active Directory Los grupos de usuarios en UserGate se pueden sincronizar con grupos de Active Directory. Para utilizar la sincronización con Active Directory, una máquina con UserGate Proxy & Firewall no tiene que ser parte de un dominio.

Configurar la sincronización es un proceso de dos pasos. En la primera etapa, en la página "Grupos" de la consola de administrador de UserGate (Fig. 4), debe habilitar la opción Sincronización con AD y especificar los siguientes parámetros:

nombre de dominio Dirección IP del controlador de dominio inicio de sesión y contraseña para acceder a Active Directory (el inicio de sesión se puede especificar en UPN - formato de nombre principal de usuario) período de sincronización (en segundos) En la segunda etapa, debe abrir las propiedades del grupo de usuarios ( después de esperar el intervalo de sincronización) en UserGate, habilite la opción "sincronizar grupos con AD" y seleccione uno o más grupos de Active Directory.

Durante la sincronización, los grupos de UserGate contendrán usuarios de Active Directory que pertenecen a los grupos de Active Directory seleccionados. El tipo de autorización para los usuarios importados será "Estado de usuario importado HTTP (NTLM)".

(habilitado/deshabilitado) está controlado por el estado de la cuenta correspondiente en el dominio de Active Directory.

www.usergate.ru Figura 4. Configuración de la sincronización con Active Directory ¡Importante! Para sincronizar, debe garantizar el paso del protocolo LDAP entre el servidor UserGate y el controlador de dominio.

www.usergate.ru Página de estadísticas personales de usuario Cada usuario de UserGate tiene la oportunidad de ver la página de estadísticas. El acceso a la página de estadísticas personales se puede obtener en http://192.168.0.1:8080/statistics.html, donde por ejemplo 192.168.0.1 es la dirección local de la máquina con UserGate y 8080 es el puerto en el que se encuentra el proxy HTTP. El servidor ejecuta UserGate. El usuario puede ver sus estadísticas personales ampliadas iniciando sesión en la dirección: http://192.168.0.1:8081.

¡Atención! En la versión 6.x, se agregó una interfaz de escucha 127.0.0.1:8080, que es necesaria para que las estadísticas web funcionen cuando el servidor proxy HTTP UserGate está deshabilitado. En este sentido, el puerto 8080 en la interfaz 127.0.0.1 siempre estará ocupado por UserGate Proxy & Firewall mientras se ejecuta el proceso usergate.exe.

Por dirección IP Por rango de direcciones IP Por dirección IP+MAC Por dirección MAC Autorización usando HTTP (HTTP-basic, NTLM) Autorización vía login y contraseña (Authorization Client) Versión simplificada de autorización a través de Active Directory Para usar los últimos tres métodos de autorización Un especial La aplicación debe instalarse en la estación de trabajo del usuario: el cliente de autorización UserGate. El paquete MSI correspondiente (AuthClientInstall.msi) se encuentra en el directorio %UserGate%\tools y se puede utilizar para la instalación automática mediante la Política de grupo en Active Directory.

Una plantilla administrativa para instalar un cliente de autorización usando la Política de grupo de Active Directory, también ubicada en el directorio %UserGate%\tools. El sitio web http://usergate.ru/support tiene instrucciones en video sobre cómo implementar un cliente de autorización a través de la Política de grupo.

Si el servidor UserGate está instalado en una computadora que no forma parte de un dominio de Active Directory, se recomienda utilizar la versión simplificada de autorización a través de Active Directory. En este caso, el servidor UserGate comparará el inicio de sesión y el nombre de dominio recibidos del cliente de autorización con los campos correspondientes especificados en el perfil del usuario, sin contactar al controlador de dominio.

Soporte para usuarios de terminales Para autorizar a los usuarios de terminales en el servidor proxy UserGate, a partir de la versión 6.5, se agregó un módulo de software especial llamado "Agente de autorización de terminales". El paquete de distribución del programa Terminal Agent se encuentra en la carpeta %UserGate%\tools y se llama TerminalServerAgent*.msi. Para sistemas de 32 bits es necesario elegir la versión “TerminalServerAgent32.msi”, y para sistemas de 64 bits TerminalServerAgent64.msi”. El programa es un agente que periódicamente, una vez cada 90 segundos, envía información de autorización sobre todos los clientes del servidor terminal a un servidor proxy y un controlador que proporciona sustitución de puertos para cada cliente terminal. La combinación de información del usuario y puertos asociados permite que el servidor proxy identifique con precisión a los usuarios del servidor terminal y les aplique varias políticas de control de tráfico.

Al instalar el agente de terminal, se le pedirá que especifique la dirección IP del servidor proxy y la cantidad de usuarios. Esto es necesario para un uso óptimo de los puertos TCP\UDP libres del servidor de terminal.

www.usergate.ru

Después de instalar el agente del servidor de terminal, realiza una solicitud al servidor proxy y, si todo va bien, se crean tres usuarios en el servidor con la autorización “AD login-contraseña” y el inicio de sesión “NT AUTHORIY\*”.

Si dichos usuarios aparecen en su consola, entonces su agente de terminal está listo para trabajar.

Primer método (sincronización con el dominio de Active Directory):

En la consola del administrador, en la página de grupos de usuarios en las propiedades de la opción "sincronización con AD", debe especificar los parámetros correctos para la autorización con AD.

Entonces necesitas crear nuevo grupo usuarios, y en él indica qué grupo de usuarios en AD debe sincronizarse con el grupo actual en el servidor Proxy. Luego, sus usuarios se agregarán a este grupo de usuarios de UserGate Proxy local. En este punto, la configuración del servidor proxy está casi completa. Después de esto, debe iniciar sesión como usuario de AD en el servidor de terminal, y se autorizará automáticamente en el servidor proxy, sin necesidad de ingresar un nombre de usuario y contraseña. Los usuarios del servidor terminal se pueden administrar como usuarios normales del servidor proxy con autorización por dirección IP. Aquellos. pueden aplicar diferentes reglas NAT y/o reglas de control de tráfico.

Segundo método (importar usuarios desde un dominio de Active Directory):

Utilice la "importación" de usuarios desde AD, se configura en la página de usuarios haciendo clic en el botón "importar" correspondiente en la interfaz de la consola de administrador de UserGate.

Debe importar usuarios de AD a un grupo local específico en el servidor proxy. Después de esto, todos los usuarios importados que soliciten acceso a Internet desde el servidor de terminal tendrán acceso a Internet con los derechos definidos en el servidor proxy UserGate.

Tercer método (usando cuentas de servidor de terminal local):

Este método es conveniente para probar el funcionamiento del agente terminal o para casos en los que el servidor terminal no está ubicado en el dominio de Active Directory. En este caso, debe crear un nuevo usuario con el tipo de autorización Iniciar sesión en dominio-AD", y como "dirección de dominio" especifique el nombre de la computadora del servidor terminal, y como inicio de sesión, el nombre del usuario que iniciará sesión en el servidor de terminal. Todos los usuarios que se crearán en el servidor proxy obtendrán acceso a Internet desde el servidor de terminal, con los derechos definidos en el servidor proxy de UserGate.

Vale la pena entender que existen algunas limitaciones del agente terminal:

Los protocolos distintos de TCP\UDP no se pueden pasar desde el servidor de terminal a Internet. Por ejemplo, no será posible hacer PING desde este servidor en ningún lugar de Internet a través de NAT.

www.usergate.ru El número máximo de usuarios en el servidor terminal no puede exceder los 220 y no se asignarán más de 200 puertos para los protocolos TCP\UDP a cada usuario.

Cuando reinicia el servidor proxy UserGate, el agente terminal no permitirá que nadie acceda a Internet hasta la primera sincronización con el servidor proxy UserGate (hasta 90 segundos).

Autorización HTTP cuando se trabaja a través de un proxy transparente. UserGate v.6 ha agregado la capacidad de autorización HTTP para un servidor proxy que opera en modo transparente. Si el navegador en la estación de trabajo del usuario no está configurado para usar un servidor proxy y el proxy HTTP en UserGate está habilitado en modo transparente, entonces una solicitud de un usuario no autorizado será redirigida a la página de autorización, donde deberá especificar un inicio de sesión y contraseña.

No es necesario cerrar esta página después de la autorización. La página de inicio de sesión se actualiza periódicamente a través de un script especial, manteniendo activa la sesión del usuario. En este modo, el usuario tendrá acceso a todos los servicios de UserGate, incluida la capacidad de trabajar a través de NAT. Para finalizar la sesión del usuario, debe hacer clic en Cerrar sesión en la página de autorización o simplemente cerrar la pestaña de autorización. y después de 30 a 60 segundos, la autorización en el servidor proxy desaparecerá.

permitir el paso de paquetes NetBIOSNameRequest (UDP:137) entre el servidor UserGate y el controlador de dominio garantizar el paso de paquetes NetBIOSSessionRequest (TCP:139) entre el servidor UserGate y el controlador de dominio registrar la dirección y el puerto del proxy HTTP UserGate en el navegador en la máquina del usuario ¡Importante! Para utilizar la autorización NTLM, es posible que la máquina con UserGate instalado no sea miembro del dominio de Active Directory.

Uso del cliente de autorización El cliente de autorización UserGate es una aplicación de red que se ejecuta en el nivel Winsock, que se conecta al servidor UserGate en un puerto UDP específico (el puerto 5456 se usa de forma predeterminada) y transfiere los parámetros de autorización del usuario: tipo de autorización, inicio de sesión, contraseña, etc.

www.usergate.ru

Cuando se inicia por primera vez, el cliente de autorización UserGate busca en la rama HKCU\Software\Policies\Entensys\Authclient del registro del sistema. Las configuraciones obtenidas a través de la política de grupo de dominio de Active Directory se pueden ubicar aquí. Si no se encuentran las configuraciones en el registro del sistema, la dirección del servidor UserGate deberá especificarse manualmente en la tercera pestaña desde arriba en el cliente de autorización. Después de especificar la dirección del servidor, debe hacer clic en el botón Aplicar e ir a la segunda pestaña. Esta página especifica los parámetros de autorización del usuario. La configuración del cliente de autorización se guarda en la sección HKCU\Software\Entensys\Authclient del registro del sistema. El registro de servicio del cliente de autorización se guarda en la carpeta Documentos y configuración\%USER%\Application data\UserGate Client.

Además, se ha agregado un enlace a la página de estadísticas personales del usuario al cliente de autorización. Cambiar apariencia La autorización del cliente se puede realizar editando la plantilla correspondiente en forma de archivo *.xml ubicado en el directorio en el que está instalado el cliente.

www.usergate.ru

Configuración de servicios en UserGate Configuración de DHCP El servicio permite que DHCP (Protocolo de configuración dinámica de host) automatice el proceso de emisión de configuraciones de red a los clientes en la red local. En una red con un servidor DHCP, a cada dispositivo de red se le puede asignar dinámicamente una dirección IP, dirección de puerta de enlace, DNS, servidor WINS, etc.

Puede habilitar el servidor DHCP a través de la sección Agregar interfaz del servidor DHCP de servicios en la consola de administración de UserGate o haciendo clic en el botón Agregar en el panel de control. En el cuadro de diálogo que aparece, debe seleccionar la interfaz de red en la que se ejecutará el servidor DHCP. En la configuración mínima para un servidor DHCP, basta con establecer los siguientes parámetros: un rango de direcciones IP (grupo de direcciones), desde donde el servidor emitirá direcciones a los clientes en la red local; máscara de red y tiempo de alquiler.

El tamaño máximo del grupo en UserGate no puede exceder las 4000 direcciones. Si es necesario, puede excluir una o más direcciones IP del grupo de direcciones seleccionado (botón Exclusiones). Puede asignar una dirección IP permanente a un dispositivo específico en la red creando el enlace apropiado en la sección Reservas. La constancia de la dirección IP al renovar u obtener un contrato de arrendamiento se garantiza vinculando (Reserva) a la dirección MAC del dispositivo de red. Para crear un enlace, simplemente especifique la dirección IP del dispositivo.

La dirección MAC se determinará automáticamente haciendo clic en el botón correspondiente.

Figura 6. Configuración del servidor DHCP UserGate

El servidor DHCP en UserGate admite la importación de la configuración del servidor DHCP de Windows. La configuración de DHCP de Windows primero debe guardarse en un archivo. Para hacer esto, en el servidor donde está instalado Windows DHCP, inicie el modo de línea de comando (Inicie Ejecutar, escriba cmd y presione Enter) y en la ventana que aparece, ejecute el comando: netsh dhcp server IP dump filename, donde IP es la IP dirección de su servidor DHCP. Importar ajustes

www.usergate.ru

del archivo se realiza a través del botón correspondiente en la primera página del Asistente de configuración del servidor DHCP.

Las direcciones IP emitidas se muestran en la mitad inferior de la ventana de la consola de administración (Fig. 8) junto con información sobre el cliente (nombre de la computadora, dirección MAC), horas de inicio y finalización del contrato de arrendamiento. Al seleccionar la dirección IP emitida, puede agregar un usuario a UserGate, crear un enlace de dirección MAC o liberar una dirección IP.

Figura 7. Eliminación de direcciones emitidas

Después de un tiempo, la dirección IP liberada se colocará en el grupo de direcciones libres del servidor DHCP. La operación de liberar una dirección IP puede ser necesaria si la computadora que anteriormente solicitó una dirección al servidor DHCP de UserGate ya no está presente en la red o ha cambiado su dirección MAC.

El servidor DHCP tiene la capacidad de responder a los clientes cuando solicitan el archivo "wpad.dat". Al utilizar este método para obtener la configuración del servidor proxy, debe editar el archivo de plantilla, que se encuentra en la carpeta “C:\program files\entensys\usergate6\wwwroot\wpad.dat”.

Más información detallada Este método para obtener la configuración del servidor proxy se describe en Wikipedia.

Configuración de servicios proxy en UserGate Los siguientes servidores proxy están integrados en el servidor UserGate: HTTP (con soporte para el modo “FTP sobre HTTP” y HTTPS - método Connect), FTP, SOCKS4, SOCKS5, POP3 y SMTP, SIP y H323. La configuración de los servidores proxy de www.usergate.ru está disponible en la sección Servicios Configuración de proxy en la consola de administración. La configuración principal del servidor proxy incluye:

interfaz (Fig. 9) y número de puerto en el que opera el proxy.

Figura 8. Configuración básica del servidor proxy De forma predeterminada, UserGate solo incluye un proxy HTTP que escucha en el puerto TCP 8080 en todas las interfaces de red disponibles del servidor.

Para configurar el navegador del cliente para que funcione a través de un servidor proxy, simplemente especifique la dirección y el puerto del proxy en el elemento de configuración correspondiente. En Internet Explorer, la configuración del proxy se especifica en el menú Herramientas Opciones de Internet Configuración de LAN de conexión. Cuando trabaja a través de un proxy HTTP, no necesita especificar la puerta de enlace y el DNS en las propiedades de conexión de red TCP/IP en la estación de trabajo del usuario, ya que el propio proxy HTTP realizará la resolución de nombres.

Para cada servidor proxy, está disponible un modo en cascada hacia un servidor proxy de nivel superior.

¡Importante! El puerto especificado en la configuración del servidor proxy se abre automáticamente en el firewall de UserGate. Por lo tanto, desde el punto de vista de la seguridad, se recomienda especificar solo las interfaces de red local del servidor en la configuración del proxy.

¡Importante! Se describen más detalles sobre la configuración de varios navegadores para el servidor proxy en un artículo especial en la base de conocimientos de Entensys.

Soporte para protocolos de telefonía IP (SIP, H323) UserGate implementa la función de proxy SIP con monitoreo de proxy con estado SIP Registrar. El proxy SIP está habilitado en la sección Servicios Configuración de proxy y siempre funciona en modo transparente, escuchando los puertos 5060 TCP y 5060 UDP. Cuando se utiliza un proxy SIP en

www.usergate.ru

La página Sesiones de la consola de administración muestra información sobre el estado de la conexión activa (registro, llamada, espera, etc.), así como información sobre el nombre de usuario (o su número), la duración de la llamada y la cantidad de bytes enviados/ recibió. Esta información también quedará registrada en la base de datos de estadísticas de UserGate.

Para utilizar el proxy SIP de UserGate en las propiedades TCP/IP de la estación de trabajo del usuario, debe especificar la dirección IP del servidor UserGate como puerta de enlace predeterminada y también asegurarse de especificar la dirección del servidor DNS.

Ilustraremos la configuración de la parte del cliente usando el ejemplo del softphone SJPhone y el proveedor Sipnet. Inicie SJPhone, seleccione Opciones en el menú contextual y cree un nuevo perfil. Ingrese el nombre del perfil (Fig. 10), por ejemplo, sipnet.ru. Especifique Llamar a través de SIP-Proxy como tipo de perfil.

Figura 9. Creación de un nuevo perfil en SJPhone El cuadro de diálogo Opciones de perfil requiere que especifique la dirección del servidor proxy de su proveedor de VoIP.

Al cerrar el cuadro de diálogo, deberá ingresar datos de autorización en el servidor de su proveedor de VoIP (nombre de usuario y contraseña).

Figura 10. Configuración del perfil SJPhone www.usergate.ru ¡Atención! Si, cuando habilita un proxy SIP, su tráfico de voz no pasa en una dirección u otra, entonces necesita usar un servidor proxy STUN o permitir el tráfico a través de NAT en todos los puertos (CUALQUIER: COMPLETO) para los usuarios requeridos. Cuando habilita una regla NAT en todos los puertos, será necesario deshabilitar el servidor proxy SIP.

Compatibilidad con el modo SIP Registrar La función SIP Registrar le permite utilizar UserGate como software PBX (central telefónica automática) para una red local.

La función SIP Registrar funciona simultáneamente con la función SIP proxy. Para autorizar en UserGate SIP Registrar, en la configuración de SIP UAC (Cliente de agente de usuario) debe especificar:

Dirección de UserGate como dirección del servidor SIP Nombre de usuario de UserGate (sin espacios) cualquier contraseña Compatibilidad con el protocolo H323 La compatibilidad con el protocolo H323 le permite utilizar el servidor UserGate como “guardián de acceso” (H323 Gatekeeper). La configuración del proxy H323 especifica la interfaz en la que el servidor escuchará las solicitudes de los clientes, el número de puerto, así como la dirección y el puerto de la puerta de enlace H323. Para autorizar en UserGate Gatekeeper, el usuario debe proporcionar un inicio de sesión (nombre de usuario en UserGate), contraseña (cualquiera) y número de teléfono especificado en el perfil de usuario en UserGate.

¡Importante! Si UserGate GateKeeper recibe una llamada a un número H323 que no pertenece a ninguno de los usuarios autorizados de UserGate, la llamada será redirigida a la puerta de enlace H323. Las llamadas al gateway H323 se realizan en modo “CallModel: Directo”.

Proxies de correo en UserGate Los proxies de correo en UserGate están diseñados para funcionar con los protocolos POP3 y SMTP y para el escaneo antivirus del tráfico de correo.

Cuando se utiliza el modo de funcionamiento transparente de POP3 y proxy SMTP, la configuración del cliente de correo en la estación de trabajo del usuario no difiere de la configuración correspondiente a la opción con acceso directo a Internet.

Si el proxy UserGate POP3 se utiliza en modo opaco, entonces en la configuración del cliente de correo en la estación de trabajo del usuario, se debe especificar la dirección IP de la computadora con UserGate y el puerto correspondiente al proxy UserGate POP3 como dirección del servidor POP3. Además, el inicio de sesión para autorización en el servidor POP3 remoto se especifica en el siguiente formato:

dirección_correo electrónico@dirección_servidor_POP3. Por ejemplo, si el usuario tiene un buzón [correo electrónico protegido], luego como Iniciar sesión

Será necesario especificar el proxy UserGate POP3 en el cliente de correo:

[correo electrónico protegido]@pop.mail123.com. Este formato es necesario para que el servidor UserGate pueda determinar la dirección del servidor POP3 remoto.

www.usergate.ru

Si el proxy SMTP de UserGate se usa en modo no transparente, entonces en la configuración del proxy debe especificar la dirección IP y el puerto del servidor SMTP que UserGate usará para enviar cartas. En este caso, en la configuración del cliente de correo en la estación de trabajo del usuario, debe especificar la dirección IP del servidor UserGate y el puerto correspondiente al proxy SMTP de UserGate como dirección del servidor SMTP. Si se requiere autorización para enviar, en la configuración del cliente de correo debe especificar el nombre de usuario y la contraseña correspondientes al servidor SMTP, que se especifica en la configuración del proxy SMTP en UserGate.

Uso del modo transparente La función del modo transparente en la configuración del servidor proxy está disponible si el servidor UserGate está instalado junto con el controlador NAT. En modo transparente, el controlador NAT UserGate escucha los puertos estándar para servicios: 80 TCP para HTTP, 21 TCP para FTP, 110 y 25 TCP para POP3 y SMTP en las interfaces de red de la computadora con UserGate.

Si hay solicitudes, las transfiere al servidor proxy UserGate apropiado. Cuando se utiliza el modo transparente en aplicaciones de red, los usuarios no necesitan especificar la dirección y el puerto del servidor proxy, lo que reduce significativamente el trabajo del administrador en términos de proporcionar acceso a Internet en la red local. Sin embargo, en la configuración de red de las estaciones de trabajo, se debe especificar el servidor UserGate como puerta de enlace y se debe especificar la dirección del servidor DNS.

Proxies en cascada El servidor UserGate puede funcionar con la conexión a Internet directamente o a través de servidores proxy de nivel superior. Dichos servidores proxy se agrupan en UserGate bajo Servicios de servidores proxy en cascada. UserGate admite los siguientes tipos de proxies en cascada: HTTP, HTTPS, Socks4, Socks5. La configuración del proxy en cascada especifica parámetros estándar: dirección y puerto. Si el proxy ascendente admite autorización, puede especificar el nombre de usuario y la contraseña adecuados en la configuración. Los servidores proxy en cascada creados estarán disponibles en la configuración del servidor proxy en UserGate.

www.usergate.ru Figura 11 Proxies principales en UserGate Mapeo de puertos UserGate admite la función de mapeo de puertos. Si existen reglas de asignación de puertos, el servidor UserGate redirige las solicitudes de los usuarios que llegan a un puerto específico de una interfaz de red determinada de una computadora con UserGate a otra dirección y puerto específicos, por ejemplo, a otra computadora en la red local.

La función de reenvío de puertos está disponible para los protocolos TCP y UDP.

Figura 12. Asignación de puertos en UserGate ¡Importante! Si se utiliza la asignación de puerto para proporcionar acceso desde Internet a un recurso interno de la empresa, debe seleccionar Usuario especificado como parámetro de autorización www.usergate.ru; de lo contrario, el reenvío de puerto no funcionará.

Configurar un caché Uno de los propósitos de un servidor proxy es almacenar en caché los recursos de la red.

El almacenamiento en caché reduce la carga de su conexión a Internet y acelera el acceso a los recursos visitados con frecuencia. El servidor proxy UserGate almacena en caché el tráfico HTTP y FTP. Los documentos almacenados en caché se colocan en la carpeta local %UserGate_data%\Cache. La configuración de la caché indica:

límite de tamaño de caché y tiempo de almacenamiento para documentos almacenados en caché.

Además, puede habilitar el almacenamiento en caché de páginas dinámicas y contar el tráfico desde el caché. Si la opción Leer tráfico desde la caché está habilitada, no solo se registrará el tráfico externo (Internet) para el usuario en UserGate, sino también el tráfico recibido desde la caché de UserGate.

¡Atención! Para ver las entradas actuales en el caché, debe ejecutar una utilidad especial para ver la base de datos del caché. Se inicia haciendo clic derecho en el icono "UserGate Agent" en la bandeja del sistema y seleccionando "Abrir caché del navegador".

¡Atención! Si ha habilitado el caché y aún no tiene un solo recurso en el "navegador de caché", lo más probable es que necesite habilitar un servidor proxy transparente para el protocolo HTTP, en la página "Servicios - Configuración de proxy".

Escaneo antivirus Tres módulos antivirus están integrados en el servidor UserGate: antivirus Kaspersky Lab, Panda Security y Avira. Todos los módulos antivirus están diseñados para escanear el tráfico entrante a través de servidores proxy de correo HTTP, FTP y UserGate, así como el tráfico saliente a través de servidores proxy SMTP.

La configuración del módulo antivirus está disponible en la sección Servicios antivirus de la consola de administración (Fig. 14). Para cada antivirus, puede especificar qué protocolos debe analizar, establecer la frecuencia de actualización de las bases de datos antivirus y también especificar las URL que no necesitan ser analizadas (opción de filtro de URL). Además, en la configuración puede especificar un grupo de usuarios cuyo tráfico no necesita ser sometido a un análisis antivirus.

www.usergate.ru

Figura 13. Módulos antivirus en UserGate Antes de iniciar los módulos antivirus, debe comenzar a actualizar las bases de datos antivirus y esperar a que se complete. En la configuración predeterminada, las bases de datos del antivirus Kaspersky se actualizan desde el sitio web de Kaspersky Lab y, para el antivirus Panda, se descargan de los servidores de Entensys.

El servidor UserGate admite el funcionamiento simultáneo de tres módulos antivirus. En este caso, Kaspersky Anti-Virus analizará primero el tráfico.

¡Importante! Cuando el análisis del tráfico antivirus está habilitado, el servidor UserGate bloquea las descargas de archivos multiproceso a través de HTTP y FTP. Bloquear la capacidad de descargar parte de un archivo a través de HTTP puede provocar problemas con el servicio Windows Update.

Programador en UserGate El servidor UserGate tiene un programador de tareas incorporado que se puede usar para realizar las siguientes tareas: inicializar y romper conexiones de acceso telefónico, enviar estadísticas a los usuarios de UserGate, ejecutar un programa arbitrario, actualizar bases de datos antivirus, borrar la base de datos de estadísticas. , comprobando el tamaño de la base de datos.

www.usergate.ru

Figura 14. Configuración del programador de tareas El elemento Ejecutar programa en el programador de UserGate también se puede utilizar para ejecutar una secuencia de comandos (scripts) desde archivos *.bat o *.cmd.

Obras similares:

"PLAN DE ACCIÓN 2014-2015" CONFERENCIA DE AUTORIDADES REGIONALES Y LOCALES SOBRE EL PLAN DE ACCIÓN DE LA ASOCIACIÓN ORIENTAL CONFERENCIA DE AUTORIDADES REGIONALES Y LOCALES SOBRE EL PLAN DE ACCIÓN DE LA ASOCIACIÓN ORIENTAL (CORLEAP) PARA 2014 Y ANTES DE LA REUNIÓN ANUAL DE 2 015 1. Introducción Conferencia de autoridades regionales y locales sobre la Asociación Oriental (en adelante en el texto - “CORLEAP” o “Conferencia”) es un foro político diseñado para facilitar actividades locales y...”

“Director del Departamento de Política Estatal y Regulación en el Campo de Geología y Uso del Subsuelo del Ministerio de Recursos Naturales de Rusia A.V. Orel aprobado el 23 de agosto de 2013 APROBADO por Director del Departamento política pública y regulación en el campo de la geología y el uso del subsuelo del Ministerio de Recursos Naturales de Rusia _ A.V. Orel "_" 2013 ACORDADO Director de la Empresa Unitaria del Estado Federal "Geologorazvedka" V.V. Shimansky “_”_ 2013 CONCLUSIÓN del Consejo Científico y Metodológico sobre Tecnologías Geológicas y Geofísicas para la Búsqueda y Exploración de Minerales Sólidos...”

“COLUMNA D DEL EDITOR ¡QUERIDOS AMIGOS! Tiene en sus manos el primer número de este año del New Forest Journal. Tradicionalmente, su tema principal era la exposición-feria internacional “Bosque Ruso”, que tuvo lugar a finales del año pasado. Por supuesto, consideramos este evento no tanto como una ocasión informativa, sino como una plataforma para que los especialistas forestales desarrollen políticas, estrategias y tácticas para el desarrollo de la industria. Es desde este punto de vista que intentamos abarcar el trabajo de los seminarios...”

“El programa del examen interdisciplinario final estatal se elabora de acuerdo con las disposiciones: sobre la certificación estatal final de los graduados de la institución educativa presupuestaria del estado federal de nivel superior educación vocacional « Academia Rusa economía nacional Y servicio Civil bajo el presidente Federación Rusa"de fecha 24 de enero de 2012, Moscú; sobre la formación de maestría (maestría) en el sistema educativo presupuestario del estado federal..."

“Lista de artistas Nechaev V.D. Jefe del Programa de Desarrollo Estratégico Universitario, Rector Glazkov A.A. Jefa de Trabajo del Programa de Desarrollo Estratégico Universitario, Vicerrectora de Ciencia, Innovación y Desarrollo Estratégico Sharaborova G.K. coordinador del trabajo del Programa de Desarrollo Estratégico Universitario, director del Centro de Curadores del Proyecto de Desarrollo Estratégico: Sokolov E.F. Vicerrector de Apoyo Administrativo y Económico Ognev A.S. Vicerrector de Ciencias,..."

“UDC 91:327 Lysenko A. V. El modelado matemático como método para estudiar el fenómeno del autonomismo en la geografía política Universidad Nacional Tauride que lleva el nombre de V. I. Vernadsky, correo electrónico de Simferopol: [correo electrónico protegido] Anotación. El artículo examina la posibilidad de utilizar modelos matemáticos como método para estudiar la geografía política, revela el concepto de autonomismo territorial, así como los factores de su génesis. Palabras clave: modelado matemático,..."

“DERECHOS” en Murmansk APROBADO ACEPTADO Director de la Sucursal en una reunión del departamento de disciplinas jurídicas generales de la Institución Educativa Privada de Educación Profesional Superior BIEPP en Murmansk en la ciudad de Murmansk. Múrmansk A.S. Protocolo Korobeinikov No. 2_ de fecha “_09_”_septiembre_ 2014 “_09_” septiembre de 2014 Complejo educativo y metodológico de la disciplina Historia de las doctrinas políticas y jurídicas Especialidad...”

FONDO FIDUCIARIO DE ASISTENCIA EDUCATIVA DE RUSIA (LEER) LEER INFORME ANUAL Al invertir en evaluación de la calidad de la educación, evaluación de las reformas y sistemas de evaluación del desempeño y las habilidades, el Banco ayudará a sus países socios a responder preguntas clave para dar forma a las políticas de reforma. nuestro sistema tiene? ¿Cuáles son sus desventajas? ¿Qué medidas para eliminar estas deficiencias fueron las más efectivas? cuáles son..."

"OKHUNOV ALISHER ORIPOVICH [correo electrónico protegido] TÍTULO PROGRAMA INFORMACIÓN GENERAL INFORMACIÓN SOBRE LA POLÍTICA DE DISCIPLINA DOCENTE "ASUNTOS GENERALES PROGRAMA RESULTADOS FINALES DEL APRENDIZAJE PRERREQUISITOS Y POSTREREQUISITOS DE LA CIRUGÍA" CRITERIOS Y NORMAS PARA LA EVALUACIÓN DE CONOCIMIENTOS Y HABILIDADES DEL PROFESOR PROGRAMA "ASUNTOS GENERALES DE CIRUGÍA" OKHUNOV ALISHER ORIPOVICH [correo electrónico protegido] INFORMACIÓN GENERAL: TÍTULO Nombre de la universidad: Academia Médica de Tashkent INFORMACIÓN GENERAL Departamento de Cirugía General y Pediátrica Ubicación..."

“Comité de Relaciones Exteriores Implementación en San Petersburgo de la política estatal de la Federación de Rusia hacia los compatriotas en el extranjero VIII Foro de San Petersburgo de organizaciones juveniles de compatriotas rusos y medios de comunicación extranjeros en lengua rusa “Rusos en el extranjero” 7 al 13 de junio de 2015 PROGRAMA JUNIO 7, DOMINGO Llegada de los participantes Foro durante el día Hotel “San Petersburgo” Dirección: terraplén de Pirogovskaya, 5/2 Registro de los participantes, emisión del “Kit de participante” ¡ATENCIÓN!..."

“El plan de estudios del examen de ingreso adicional al programa de maestría para la especialidad 1-23 80 06 “Historia de las Relaciones Internacionales y Política Exterior” se elabora sobre la base de los programas estándar “Historia relaciones Internacionales" e "Historia de la política exterior de Bielorrusia", así como los programas de exámenes estatales en disciplinas especiales para la especialidad 1-23 01 01 “Relaciones Internacionales”. Considerado y recomendado para su aprobación en reunión del Departamento de Relaciones Internacionales el Protocolo No. 10 de fecha 7...”

« semana puede elegir un proyecto de cohete superpesado Laboratorio ruso-chino Sistemas de anclaje espacial Los siguientes satélites de la serie Meteor no recibirán sistemas de radar La conexión faltante con el satélite científico ruso Vernov aún no se ha establecido 19/02/2015 4 Espacio Los escombros amenazaron a la ISS 60 veces en enero del año pasado en la Tierra…”

"MINISTERIO DE EDUCACIÓN Y CIENCIA DE LA FEDERACIÓN DE RUSIA Institución Educativa Presupuestaria del Estado Federal de Educación Profesional Superior "Universidad Estatal de Kemerovo" APROBADO POR: Rector _ V. A. Volchek "" _ 2014 Programa educativo principal educación más alta Especialidad 030701 Relaciones Internacionales Enfoque (especialización) “Política Mundial” Calificación (título) especialista en el campo de las relaciones internacionales Forma de estudio a tiempo completo Kemerovo 2014...”

“ISLAM EN LOS URAL MODERNOS Alexey Malashenko, Alexey Starostin ABRIL 2015 ISLAM EN LOS URAL MODERNOS Alexey Malashenko, Alexey Starostin Este número de “Working Materials” fue preparado por una organización de investigación no gubernamental sin fines de lucro: el Centro Carnegie de Moscú. El Fondo Carnegie para la Paz Internacional y el Centro Carnegie de Moscú como organización no adoptan una posición común sobre cuestiones sociopolíticas. La publicación refleja las opiniones personales de los autores, que no deben..."

“El principio fundamental de Knauf es que todo debe ser “mitdenken” (hecho después de pensarlo detenidamente en conjunto y teniendo en cuenta los intereses de aquellos para quienes trabaja). Poco a poco concepto clave echó raíces en Rusia”. De una entrevista con Yu.A. Mikhailov, Director general KNAUF GIPS KOLPINO LLC Prácticas de gestión de la división rusa de una corporación internacional: la experiencia de KNAUF CIS* Gurkov Igor Borisovich, Kossov Vladimir Viktorovich Resumen Basado en un análisis de la experiencia del desarrollo del grupo KNAUF CIS en...”

“Apéndice INFORMACIÓN sobre el progreso de la implementación de la orden del Gobernador de la Región de Omsk de 28 de febrero de 2013 No. 25-r “Sobre las medidas para implementar el Decreto del Gobernador de la Región de Omsk de 16 de enero de 2013 No. 3 " de acuerdo con el Plan de acciones prioritarias para 2013 - 2014 para la implementación de la estrategia de acción regional en interés de la infancia en la región de Omsk para 2013 - 2017 para 2013 No. Nombre Responsable Información sobre la implementación del sub-evento ejecutante I .Política familiar de ahorro infantil...”

“DEPARTAMENTO DE EDUCACIÓN Y POLÍTICA DE JUVENTUD DEL DISTRITO AUTÓNOMO DE KHANTY-MANSIYK – YUGRA Institución educativa estatal de educación profesional superior del Okrug autónomo de Khanty-Mansiysk – Programa “Universidad Pedagógica Estatal de Surgut” de Ugra práctica industrial BP.5. PRÁCTICA PEDAGÓGICA Dirección de formación 49.03.02 Educación física para personas con problemas de salud (Adaptable Cultura Física) Calificación (título)..."

“Institución Educativa Autónoma Estatal de Educación Profesional Superior “Universidad de Gestión de la Ciudad de Moscú del Gobierno de Moscú” Instituto de Educación Profesional Superior Departamento controlado por el gobierno y política de personal APROBADA por el Vicerrectorado de Ordenación Académica y trabajo científico AUTOMÓVIL CLUB BRITÁNICO. Alexandrov “_”_ 20_ Programa de trabajo disciplina académica"Métodos de aceptación las decisiones de gestión"para estudiantes de la dirección 38.03.02 "Administración" para estudios a tiempo completo en Moscú..."

“Serie “Finanzas simples” de Yu. V. Brekhov CÓMO RECONOCER LA PIRÁMIDE FINANCIERA Volgogrado 2011 UDC 336 BBK 65.261 B 87 El folleto de la serie “Finanzas simples” se realizó de acuerdo con el acuerdo 7(2) del 19 de septiembre de 2011 de la Institución Educativa Estatal Federal de Educación Profesional Superior "Academia de Servicio Estatal de Volgogrado" con el Comité de Política Presupuestaria y Financiera y de Hacienda de la Administración de la Región de Volgogrado como parte de la implementación del programa objetivo regional a largo plazo "Aumento de la nivel de educación financiera de la población y desarrollo financiero..."
Los materiales de este sitio se publican únicamente con fines informativos, todos los derechos pertenecen a sus autores.
Si no está de acuerdo con que su material se publique en este sitio, escríbanos y lo eliminaremos dentro de 1 a 2 días hábiles.

Hoy en día, Internet no es sólo un medio de comunicación o una forma de pasar el tiempo libre, sino también una herramienta de trabajo. La búsqueda de información, la participación en licitaciones y el trabajo con clientes y socios requieren la presencia de los empleados de la empresa en Internet. La mayoría de las computadoras utilizadas tanto para fines personales como organizacionales ejecutan sistemas operativos Windows. Naturalmente, todos están equipados con mecanismos para proporcionar acceso a Internet. A partir de Windows 98 Segunda Edición, la Conexión compartida a Internet (ICS) se ha integrado en los sistemas operativos Windows como un componente estándar, que proporciona acceso grupal desde una red local a Internet. Más tarde, Windows 2000 Server introdujo el servicio de enrutamiento y acceso remoto y agregó soporte para el protocolo NAT.

Pero el ICS tiene sus inconvenientes. Entonces, esta función cambia la dirección del adaptador de red y esto puede causar problemas en la red local. Por lo tanto, ICS se utiliza preferentemente sólo en redes domésticas o de pequeñas oficinas. Este servicio no proporciona autorización de usuario, por lo que no es recomendable utilizarlo en una red corporativa. Si hablamos de aplicaciones en una red doméstica, aquí también la falta de autorización por nombre de usuario se vuelve inaceptable, ya que las direcciones IP y MAC son muy fáciles de falsificar. Por tanto, aunque en Windows es posible organizar el acceso unificado a Internet, en la práctica, para implementar esta tarea, ya sea hardware o software desarrolladores independientes. Una de esas soluciones es el programa UserGate.

Primera cita

El servidor proxy Usergate permite proporcionar acceso a Internet a los usuarios de la red local y definir políticas de acceso, negando el acceso a ciertos recursos, limitando el tráfico o el tiempo de trabajo de los usuarios en la red. Además, Usergate permite llevar registros de tráfico separados tanto por usuario como por protocolo, lo que facilita enormemente el control de los costes de conexión a Internet. EN Últimamente Existe una tendencia entre los proveedores de Internet a proporcionar acceso ilimitado a Internet a través de sus canales. En el contexto de esta tendencia, lo que pasa a primer plano es el control de acceso y la contabilidad. Para ello, el servidor proxy Usergate tiene suficiente sistema flexible normas

El servidor proxy Usergate con soporte NAT (traducción de direcciones de red) se ejecuta en sistemas operativos Windows 2000/2003/XP con el protocolo TCP/IP instalado. Sin soporte para el protocolo NAT, Usergate puede ejecutarse en Windows 95/98 y Windows NT 4.0. El programa en sí no requiere recursos especiales para su funcionamiento, la condición principal es la disponibilidad de suficiente espacio en disco para los archivos de registro y caché. Por lo tanto, todavía se recomienda instalar un servidor proxy en una máquina separada, dándole el máximo de recursos.

Ajustes

¿Para qué sirve un servidor proxy? Después de todo, cualquier navegador web (Netscape Navigator, Microsoft Internet Explorer, Opera) ya puede almacenar documentos en caché. Pero recuerde que, en primer lugar, no asignamos cantidades significativas de espacio en disco para estos fines. Y en segundo lugar, la probabilidad de que una persona visite las mismas páginas es mucho menor que si lo hicieran decenas o cientos de personas (y muchas organizaciones tienen esa cantidad de usuarios). Por lo tanto, crear un espacio de caché único para una organización reducirá el tráfico entrante y acelerará la búsqueda en Internet de documentos ya recibidos por uno de los empleados. El servidor proxy UserGate se puede conectar en una jerarquía con servidores proxy externos (proveedores), y en este caso será posible, si no reducir el tráfico, al menos acelerar la recepción de datos, así como reducir el costo. (normalmente el coste del tráfico de un proveedor a través de un servidor proxy es menor).

De cara al futuro diré que el caché se configura en la sección del menú “Servicios” (ver pantalla 1). Después de cambiar el caché al modo "Habilitado", puede configurar sus funciones individuales: almacenamiento en caché de solicitudes POST, objetos dinámicos, cookies y contenido recibido a través de FTP. Aquí puede configurar el tamaño del espacio en disco asignado para el caché y la vida útil del documento almacenado en caché. Y para que el caché comience a funcionar, debe configurar y habilitar el modo proxy. La configuración determina qué protocolos funcionarán a través del servidor proxy (HTTP, FTP, SOCKS), en qué interfaz de red se escucharán y si se realizará la conexión en cascada (los datos necesarios para esto se ingresan en una pestaña separada del servicio). ventana de configuración).

Antes de comenzar a trabajar con el programa, debe realizar otras configuraciones. Como regla general, esto se hace en la siguiente secuencia:

1. Creación de cuentas de usuario en Usergate.
2. Configurar DNS y NAT en un sistema con Usergate. En esta etapa, la configuración se reduce principalmente a configurar NAT usando el asistente.
3. Configurar una conexión de red en máquinas cliente, donde es necesario registrar la puerta de enlace y DNS en las propiedades de la conexión de red TCP/IP.
4. Creación de una política de acceso a Internet.

Para facilitar su uso, el programa está dividido en varios módulos. El módulo de servidor se ejecuta en una computadora conectada a Internet y realiza tareas básicas. La administración de Usergate se lleva a cabo mediante un módulo especial Usergate Administrator. Con su ayuda, toda la configuración del servidor se realiza de acuerdo con los requisitos necesarios. La parte cliente de Usergate se implementa en forma de Cliente de autenticación Usergate, que se instala en la computadora del usuario y sirve para autorizar a los usuarios en el servidor Usergate si se utiliza una autorización distinta de IP o IP + MAC.

Control

La gestión de usuarios y grupos se encuentra en una sección separada. Los grupos son necesarios para facilitar la gestión de los usuarios y su configuración general de acceso y facturación. Puedes crear tantos grupos como necesites. Normalmente, los grupos se crean según la estructura de la organización. ¿Qué parámetros se pueden asignar a un grupo de usuarios? Cada grupo tiene asociada una tarifa a la que se tendrán en cuenta los costes de acceso. La tarifa predeterminada se utiliza por defecto. Está vacío, por lo que las conexiones de todos los usuarios incluidos en el grupo no se cobran a menos que se anule la tarifa en el perfil del usuario.

El programa tiene un conjunto de reglas NAT predefinidas que no se pueden cambiar. Estas son reglas de acceso para los protocolos Telten, POP3, SMTP, HTTP, ICQ, etc.. Al configurar un grupo, puede especificar qué reglas se aplicarán a este grupo y a los usuarios incluidos en él.

El modo de marcación automática se puede utilizar cuando la conexión a Internet se realiza a través de un módem. Cuando este modo está habilitado, el usuario puede inicializar una conexión a Internet cuando aún no hay conexión; a petición suya, el módem establece una conexión y proporciona acceso. Pero cuando se conecta a través de una línea arrendada o ADSL, este modo no es necesario.

Agregar cuentas de usuario no es más difícil que agregar grupos (consulte la Figura 2). Y si la computadora con el servidor proxy Usergate instalado es parte de un dominio de Active Directory (AD), las cuentas de usuario se pueden importar desde allí y luego clasificarlas en grupos. Pero tanto al ingresar manualmente como al importar cuentas desde AD, es necesario configurar los derechos de usuario y las reglas de acceso. Estos incluyen el tipo de autorización, plan tarifario, reglas NAT disponibles (si las reglas del grupo no satisfacen completamente las necesidades de un usuario en particular).

El servidor proxy Usergate admite varios tipos de autorización, incluida la autorización de usuario a través de Active Directory y la ventana de inicio de sesión de Windows, que permite integrar Usergate en una infraestructura de red existente. Usergate utiliza su propio controlador NAT que admite la autorización a través de un módulo especial: el módulo de autorización del cliente. Dependiendo del método de autorización elegido, en la configuración del perfil de usuario debe especificar su dirección IP (o rango de direcciones), o un nombre y contraseña, o simplemente un nombre. Aquí también se puede especificar la dirección de correo electrónico del usuario, a la que se enviarán informes sobre su uso del acceso a Internet.

Normas

El sistema de reglas de Usergate es más flexible en la configuración en comparación con las capacidades de la Política de acceso remoto (política de acceso remoto en RRAS). Usando reglas, puede bloquear el acceso a ciertas URL, limitar el tráfico usando ciertos protocolos, establecer un límite de tiempo, limitar el tamaño máximo de archivo que un usuario puede descargar y mucho más (consulte la Figura 3). Las herramientas estándar del sistema operativo no tienen la funcionalidad suficiente para resolver estos problemas.

Las reglas se crean usando el asistente. Se aplican a cuatro objetos principales monitoreados por el sistema: conexión, tráfico, tarifa y velocidad. Además, se puede realizar una acción para cada uno de ellos. La ejecución de reglas depende de las configuraciones y restricciones que se seleccionen para ello. Estos incluyen los protocolos utilizados, los horarios por día de la semana en los que esta regla estará vigente. Finalmente, se determinan criterios para el volumen de tráfico (entrante y saliente), el tiempo de permanencia en la red, el saldo de fondos en la cuenta del usuario, así como una lista de direcciones IP de la fuente de la solicitud y direcciones de red del recursos que son objeto de acción. Configurar direcciones de red también le permite determinar los tipos de archivos que los usuarios no podrán descargar.

Muchas organizaciones no permiten el uso de servicios de mensajería instantánea. ¿Cómo implementar tal prohibición usando Usergate? Basta con crear una regla que cierre la conexión al solicitar el sitio *login.icq.com* y aplicarla a todos los usuarios. La aplicación de las reglas le permite cambiar las tarifas de acceso diurno o nocturno, a recursos regionales o compartidos (si dichas diferencias las proporciona el proveedor). Por ejemplo, para cambiar entre tarifas diurnas y nocturnas, será necesario crear dos reglas, una realizará el cambio horario de la tarifa diurna a nocturna y la segunda volverá a cambiar. En realidad, ¿por qué son necesarios los aranceles? Ésta es la base del sistema de facturación integrado. Actualmente, este sistema sólo se puede utilizar para conciliación y cálculo de costos de prueba, pero una vez que se certifique el sistema de facturación, los propietarios del sistema tendrán un mecanismo confiable para trabajar con sus clientes.

Usuarios

Ahora volvamos a la configuración de DNS y NAT. La configuración de DNS implica especificar las direcciones de los servidores DNS externos a los que accederá el sistema. En este caso, en las computadoras de los usuarios, es necesario especificar la IP de la interfaz de red interna de la computadora con Usergate en la configuración de conexión para las propiedades TCP/IP como puerta de enlace y DNS. Un principio de configuración ligeramente diferente cuando se utiliza NAT. En este caso, debe agregar una nueva regla al sistema, que requiere definir la IP del receptor (interfaz local) y la IP del remitente (interfaz externa), el puerto 53 y el protocolo UDP. Esta regla debe asignarse a todos los usuarios. Y en la configuración de conexión de sus computadoras, debe especificar la dirección IP del servidor DNS del proveedor como DNS y la dirección IP de la computadora con Usergate como puerta de enlace.

La configuración de clientes de correo electrónico se puede realizar tanto a través del mapeo de puertos como a través de NAT. Si su organización permite el uso de servicios de mensajería instantánea, entonces se debe cambiar la configuración de conexión para ellos: debe especificar el uso de un firewall y un proxy, configurar la dirección IP de la interfaz de red interna de la computadora con Usergate y seleccionar HTTPS. o Protocolo de calcetines. Pero debes tener en cuenta que cuando trabajes a través de un servidor proxy, no podrás trabajar en salas de chat y video chat si estás utilizando Yahoo Messenger.

Las estadísticas de operación se registran en un registro que contiene información sobre los parámetros de conexión de todos los usuarios: tiempo de conexión, duración, fondos gastados, direcciones solicitadas, cantidad de información recibida y transmitida. No puede cancelar el registro de información sobre las conexiones de los usuarios en el archivo de estadísticas. Para ver las estadísticas en el sistema, existe un módulo especial al que se puede acceder tanto a través de la interfaz del administrador como de forma remota. Los datos se pueden filtrar por usuarios, protocolos y tiempo y se pueden guardar en un archivo Excel externo para su posterior procesamiento.

Que sigue

Si bien las primeras versiones del sistema estaban destinadas únicamente a implementar el mecanismo de almacenamiento en caché del servidor proxy, las últimas versiones tienen nuevos componentes diseñados para garantizar la seguridad de la información. Hoy en día, los usuarios de Usergate pueden utilizar el módulo antivirus y firewall integrado de Kaspersky. El firewall le permite controlar, abrir y bloquear ciertos puertos, así como publicar recursos web de la empresa en Internet. El firewall integrado procesa paquetes que no se procesan en el nivel de reglas NAT. Una vez que el controlador NAT ha procesado el paquete, el firewall ya no lo procesa. La configuración de puerto realizada para el proxy, así como los puertos especificados en la asignación de puertos, se colocan en reglas de firewall generadas automáticamente (tipo automático). Las reglas automáticas también incluyen el puerto TCP 2345, que utiliza el módulo Administrador de Usergate para conectarse al backend de Usergate.

Hablando de perspectivas mayor desarrollo producto, cabe mencionar la creación de su propio servidor VPN, que le permitirá abandonar la VPN del sistema operativo; implementación de un servidor de correo con soporte antispam y desarrollo de un firewall inteligente a nivel de aplicaciones.

Mijaíl Abramzon- Responsable del grupo de marketing de Digt.

Después de conectar la red local a Internet, tiene sentido configurar un sistema de contabilidad de tráfico y el programa Usergate nos ayudará con esto. Usergate es un servidor proxy y le permite controlar el acceso de las computadoras desde la red local a Internet.

Pero primero, recordemos cómo configuramos previamente la red en el curso en video "Creación y configuración de una red local entre Windows 7 y WindowsXP", y cómo proporcionamos a todas las computadoras acceso a Internet a través de un canal de comunicación. Se puede representar esquemáticamente de la siguiente forma: hay cuatro computadoras que conectamos a una red peer-to-peer, elegimos la estación de trabajo work-station-4-7, con el sistema operativo Windows 7, como puerta de enlace, es decir. conectó una tarjeta de red adicional con acceso a Internet y permitió que otras computadoras en la red accedan a Internet a través de esta conexión de red. Las tres máquinas restantes son clientes de Internet y en ellas se indicaba la dirección IP de la computadora que distribuye Internet como puerta de enlace y DNS. Bueno, ahora veamos la cuestión del control del acceso a Internet.

Instalar UserGate no es diferente de instalar un programa normal; después de la instalación, el sistema solicita reiniciar, por lo que reiniciamos. Después de reiniciar, en primer lugar, intentemos acceder a Internet desde la computadora en la que está instalado UserGate; es posible acceder a él, pero no desde otras computadoras, por lo tanto, el servidor Proxy ha comenzado a funcionar y, de forma predeterminada, prohíbe a todos acceder a Internet, por lo que deberá configurarlo.

Inicie la consola de administrador ( Inicio\Programas\Puerta de usuario\Consola de administración) y aquí aparece la consola y se abre una pestaña Conexiones. Si intentamos abrir cualquiera de las pestañas de la izquierda, se muestra un mensaje (La Consola de administrador de UserGate no está conectada al servidor UserGate), por lo que cuando iniciamos, se abre la pestaña Conexiones para que podamos conectarnos primero al servidor UserGate.

Y así, de forma predeterminada, el nombre del servidor es local; Usuario – Administrador; Servidor – localhost, es decir la parte del servidor está ubicada en esta computadora; Puerto – 2345.

Haga doble clic en esta entrada y conéctese al servicio UserGate; si la conexión falla, verifique si el servicio se está ejecutando ( Control+ Alt.+ Esc\Servicios\Puerta de usuario)

Cuando te conectas por primera vez se inicia Asistente de configuraciónPuerta de usuario, haga clic No, ya que configuraremos todo manualmente para que quede más claro qué y dónde buscar. Y antes que nada, ve a la pestaña. ServidorPuerta de usuario\ Interfaces, aquí indicamos qué tarjeta de red se conecta a Internet ( 192.168.137.2 - PÁLIDO), y cuál a la red local ( 192.168.0.4 - LAN).

Más Usuarios y grupos\Usuarios, aquí solo hay un usuario, esta es la máquina en la que se ejecuta el servidor UserGate y se llama Predeterminado, es decir. por defecto. Agreguemos todos los usuarios que se conectarán, tengo tres:

Estación de trabajo-1-xp – 192.168.0.1

Estación de trabajo-2-xp – 192.168.0.2

Estación de trabajo-3-7 – 192.168.0.3

Dejamos el grupo y el plan tarifario por defecto, yo usaré el tipo de autorización vía dirección IP, ya que los tengo registrados manualmente y permanecen sin cambios.

Ahora configuremos el proxy en sí, vaya a Servicios\Configuración de proxy\HTTP, aquí seleccionamos la dirección IP que especificamos como puerta de enlace en las máquinas cliente, tengo esto 192.168.0.4 , y también poner una marca Modo transparente Para no ingresar manualmente la dirección del servidor proxy en los navegadores, en este caso el navegador mirará qué puerta de enlace está especificada en la configuración de la conexión de red y redirigirá las solicitudes a ella.